我在一家大型 SOC 工作,我的经理要求我找到某种方法来为 Themida 打包的恶意软件样本提供覆盖范围。
尽管建议将所有 Themida 打包软件列入黑名单并收工,但我想在采取这种方法之前进行尽职调查。
我注意到 Themida 声称对他们的可执行文件进行数字水印以防止盗版,并且该软件的副本可以在许多盗版网站上下载。我想知道该软件是否在打包的可执行文件上留下了水印,以及盗版软件是否在可以签名的打包二进制文件上留下了水印。
我知道这是基于这篇文章的答案:虚拟化包装器在野外有多普遍?,但回答者提供了除此之外的所有其他主张的来源。
来自Oreans KB:
Taggant 系统是添加到软件中的加密签名,用于对抗受保护应用程序中的防病毒误报。Themida/WinLicense 许可证中的 Taggant 信息包含一个内部 ID 和您的私钥,用于插入受保护的二进制文件并使用您的 Taggant 信息对其进行签名,因此防病毒公司可以检测到该应用程序受到受信任客户的保护,而不会将其报告为误报. 请注意,如果许可证被泄露并用于保护恶意软件/病毒,反病毒公司会将 Taggant 签名列入黑名单,并且任何受该许可证保护的内容都将被标记为病毒/恶意软件。
有关 IEEE 软件标签系统的更多信息:
- http://standards.ieee.org/develop/indconn/icsg/taggant.pdf
- http://en.wikipedia.org/wiki/Software_taggant
请注意,我们期待反病毒公司尽快在他们的产品中启用 Taggant 系统,但可能需要一些时间才能在所有反病毒公司中完全准备好 Taggant 系统。
当您启用“Taggant Information”选项时,您将需要在保护时间内连接互联网来计算您的 Taggant 信息并能够将其插入受保护的二进制文件中(它连接到“ http://taggant-tsa.ieee.org/ ” )。如果在保护时间内没有可用的互联网连接,您的应用程序将受到正常保护,但不会包含任何 Taggant 信息。
所以据说合法的二进制文件应该有一个用非黑名单证书签名的有效标签。有关更多详细信息,请参阅链接。Github 上也有一些代码。
编辑显然,taggant 服务器已在 2018 年关闭,因此可能无法再将其用于实时检查,但如果泄漏的版本添加了标签,您可能仍然可以检测到坏文件...