揭开病毒的面纱：恶意代码自解密技术

发布时间：2019-05-28 09:25:01 所属栏目：建站来源：深信服千里目安全实验室

导读：分析病毒的时候，常常遇到一种很奇怪的现象，使用查壳工具查看一个样本明明没有加壳，但是反编译或调试时，却不能直观地看到样本的恶意操作，这是为什么呢？很简单，这是因为攻击者采用了自定义的加密方法，在样本运行时实现自解密并执行真正的恶意操作，

在VT上查询该病毒的报毒情况，只有大概半数的引擎报毒，而且报出的病毒类型大多不能定位到Ransom，看来，GandCrab使用这种自解密的方式还是起到了一定的免杀效果。