猫鼠游戏：三种被滥用的逃避技术(2)

Microsoft SignTool工具能检出文件签名是无效的。

图11. SignTool检查报告显示证书是无效的

但是，这个技巧让VirusTotal检测率从36降低到20，甚至Symantec AV也没有将样本检测为恶意！不过Chronicle Security也曾经说过，Virustotal并不是“不同防病毒产品之间的比较指标”，因此这个结果并不能表示Virustotal的适用性要大打折扣。准确地说，Virustotal提供了一个关于内部检测机制的线索，展示了攻击者如何绕过一些辨认上的逻辑，而不是整个AV解决方案。

图12.证书添加导致检测率降低

对两个样本的分析表明，添加证书不会影响恶意软件的功能部件，因此也不会影响其行为。

图13.比较有无证书的样本

结论

我们在本篇文章中所展示的技三种术只是威胁行为者众多绕过技术中的一部分，如今，即使这些技术已经众所周知，但它们仍然可以有效地降低检测率，达成犯罪分子的攻击目标。我们希望，企业和行业能更进一步加强对这些技术的关注，网络安全人员和网络罪犯之间就像是互相角逐的猫鼠，只有不断提高自身水平才能拉高攻击的门槛和成本。

（编辑：ASP站长网）