- 关注
- 终端安全
本文由
创作,已纳入「FreeBuf原创奖励计划」,未授权
# 样本分析 # 安全运营 # 黑产团伙 # EDR检测
已在FreeBuf发表 0 篇文章
本文为 独立观点,未经授权如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024) 被以下专辑收录,发现更多精彩内容 相关推荐
关 注
- 0 文章数
- 0 关注者
文章目录
一、攻击链全景:从下载到持久化 - 3.1 基本信息与混淆特征
- 3.2 导入结构的变化
- 4.1 导出函数数量的质变
- 4.2 211个导出函数的功能分类推测
- 4.3 节结构与自解密机制
- 4.4 导入表的极致精简
- 4.5 PEB Walk + API哈希的实现机制
- 5.1 载体伪装的有效性
- 5.2 IDAT块填充的实现
- 5.3 隐藏Payload特征
- 5.4 隐藏Payload的内部结构推测
- 7.1 Yara规则
- 7.2 Sigma规则
- 8.1 事件到字段映射
- 8.2 行为组合检测(高价值)
- 10.1 静态检测指标
- 10.2 行为检测要点
- 10.3 渠道监控
- 第一阶段:确认与隔离(0-30分钟)
- 第二阶段:取证与溯源(30分钟-2小时)
- 第三阶段:清除与恢复(2-4小时)
- 第四阶段:加固与复盘(4小时后)