探究窃密木马FormBook免杀手段——多变的加载器

近期，火绒工程师在日常关注安全动态时发现FormBook木马家族存在利用多种加载器混淆处理进行免杀的行为，因此火绒工程师对其木马家族多种样本进行横向分析，分析发现该木马家族多个样本的主要功能几乎没有变化，只有加载器不断变化，且加载器核心机制仍然由读取、解密和注入三个步骤组成。其中注入的FormBook代码通过自修改代码（SMC）和多次注入以及通过天堂之门实现免杀。火绒安全产品可对上述窃密木马进行拦截查杀。火绒6.0查杀图FormBook是一种商业窃密木马，主要用于窃取浏览器的Cookies等敏感信息。同时...【查看原文】