介绍

这篇论文是我在Rootkit 这本书中看到的，书中对它的描述是：“为了规避文件签名分析并且使静态分析变得更加困难，可以将Rootkit部署为一种被加密的可执行体，在运行时可以自行解密。该策略的更高明之处是隐藏构成Rootkit的机器指令，这一点可以通过改写机器指令以使它们看起来似乎是ASCII文本的方式实现，这就是著名的English Shellcode方法”

在翻译完这篇论文后，我感觉这种方式恐怕能绕过所有静态分析检测的方法，因为它把Shellcode编码成了英语散文段落...

由于还没有成为一名从业者，所以我猜测（只是猜测...）现在对于能够作为代码载荷的数据的检测方法应该是：静态检测是否可疑，可疑则进行动态分析。如果我没有猜错，那么静态检测的时候总不能把所有英文段落都设置为可疑然后都拿去进行动态分析吧？...这样效率得多低。

不过作者在论文里没有提到整个自动化工具的具体实现，只是把自己的设计思路用文字描述出来，生成品的示例也只有其中的一小部分。我猜（又是猜...）论文作者恐怕在发布这个研究成果时也没有想到预防和检测这种技术的的解决方案，所以如果放出来被别有用心的人利用就麻烦了。

当然我会试一下按照论文中描述的方式构建一个自动生成散文化Shellcode的引擎的！（虽然怕是做不到...翻译的过程里都涨了好多知识）

大佬还说他挖到0 Day的时候如果用这种方式编码岂不是美滋滋。emmm...美滋滋是美滋滋，就是估计等大佬挖到了我还没做出来(┬＿┬)

末尾

然而虽然作者说这篇论文“著名”，但是网上几乎不存在这篇论文的中文信息。于是为了方便学习，我把这篇 10000 多字的论文翻译了一下，其中有好多直译非常奇怪的地方我都根据自己的理解意译了，也不知道是不是完全正确...

但是发出来说不定可以贡献一点绵薄之力，也是极好的吧♪(＾∀＾●)ﾉ

附件里是英文原文和我的译文

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

最后于 2018-7-6 12:45 被theme_编辑，原因：附件上传不上去呀

上传的附件：

English Shellcode-翻译-散文化Shellcode.pdf （1.61MB，93次下载）
English-ShellCode.pdf （1.15MB，37次下载）

收藏・6

点赞・1

打赏