ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1406

术语表: /attack/glossary

混淆或加密的有效载荷

应用程序可以包含混淆或加密的恶意代码,然后在运行时对代码进行去混淆或解密,以规避许多应用程序的审查,如 [1] [2] [3] [4]。中所述。

缓解

缓解 描述
应用程序审核 应用程序审查技术可能能够对应用程序中存在混淆或加密的代码发出告警,并且此类应用程序需要额外的审查。不幸的是,这种缓解可能是不实用的,因为许多合法的应用程序应用代码混淆或加密来抵御诸如重新打包应用程序之类的攻击者技术。在应用程序审查中使用时的动态分析在某些情况下可以通过在执行时检测代码(在对其进行反混淆或解密之后)来识别混淆或加密形式的恶意代码。一些应用程序审查技术基于应用程序开发人员的名声分析,并且可以对潜在的可疑应用程序进行告警,而无需实际检查应用程序代码。