前言概述

黑客组织会开发各种恶意软件进行攻击活动，其中Loader样本算是恶意软件中较为复杂的攻击样本，大多数Loader的分析工具都会消耗安全分析人员大量的时间精力，其中包含各种反调试反沙箱反分析等对抗技术，还有一些Loader会使用大量的混淆加壳方式，以防止安全研究人员的分析与研究。

今天给大家介绍一款Loadedr恶意软件，该恶意使用了如下对抗技术：

基于哈夫曼编码的Shellcode混淆

动态API解析

使用 HellsGate/HalosGate/TartarusGate 技术解脱

间接系统调用执行

API调用和系统调用哈希混淆

反调试

从TEB中发现基于PEB的DLL

加载程序躲过了卡巴斯基EDR和许多AV，例如(Bit-Defender/Avast/Kaspersky)

通过了解熟悉这些技术，后面遇到相关的Loader恶意软件，在进行逆向分析的时候会有很大的帮助。

1.基于哈夫曼编码的Shellcode混淆技术，如下所示：[出自:jiwo.org]

2.ShellCode代码，如下所示：

3.动态API解析技术，如下所示：

4.使用HellsGate技术，如下所示：

5.使用HalosGate技术，如下所示：

6.使用TartarusGate技术，如下所示：

7.简单的反调试技术，如下所示：

8.间接系统调用执行技术，如下所示：

9.API调用和系统调用哈希混淆技术，如下所示：

10.从TEB中发现基于PEB的DLL技术，如下所示：