Техники: T1027 , T1027.001 , T1027.002 , T1027.003 , T1027.004 , T1027.005 , T1027.006 , T1027.007 , T1027.008 , T1027.009 , T1027.010 , T1027.011 , T1027.012 , T1027.013 , T1027.014 , T1027.015 , T1027.016 , T1027.017
Злоумышленники могут использовать ненужный код / мертвый код для запутывания функциональности вредоносного ПО. Ненужный код — это код, который либо не выполняется, либо, если он выполняется, не изменяет функциональность кода. Ненужный код затрудняет анализ и делает его более трудоемким, поскольку аналитик проходит через нефункциональный код вместо того, чтобы анализировать основной код. Он также может затруднять обнаружение, основанное на статическом анализе кода, из-за использования безобидных функций, особенно в сочетании с сжатием или упаковкой программного обеспечения. (Источник: ReasonLabs) (Источник: ReasonLabs Cyberpedia Junk Code)
Инструкции No-Operation (NOP) являются примером мертвого кода, широко используемого в языке ассемблера x86. Они обычно используются в качестве операционного кода 0x90. Когда NOP добавляются к вредоносному ПО, дисассемблер может отображать инструкции NOP, в результате чего аналитику приходится просматривать их. (Источник: ReasonLabs)
Использование вставки мусорного/мертвого кода отличается от Binary Padding, поскольку его цель — запутать функциональность кода, а не просто изменить сигнатуру вредоносного ПО.
https://attack.mitre.org/techniques/T1027/016
Визуализация смежных техник для T1027.016
| № | Техника |
|---|
