之前大白在直播的时候,有粉丝问到了大白如何实现高效免杀?
受限于直播间无法完整的讲述,思路和方法,所以大白特意在自己的公众号整理了相关的教程和方法,希望粉丝朋友能够看到,并给大白的文章点点赞!
一、免杀系统搭建
做免杀如果我们做一款远控的免杀,咱们做好了之后是需要进行测试的,那一些对系统有害的需要测试咋办呢,那就得用到虚拟机或影子系统ps:由于这些都是基本的一些工具,我也就不再多讲。
当然,做免杀是需要一个免杀工具包的,小七免杀工具包精简版2.0就很不错,里面的东西都是干净的,但是原始下载地址栏找不到,百度上有很多,由于安全性未知,我就不发链接了,但他大小应该是在350mb左右。
二、免杀工具介绍
小七免杀工具包里有很多的工具我就列出其中的一些常用的排名不分前后
1、myccl
Myccl作为05出品的一款定位工具,到现在还是独领风骚,实用性五星,稳定性五星。
2、C32asm
一款非常好的静态反汇编工具一般人免杀定位出特征码后都会先到C32里面去改,如果不行就载入od。当然,源码免杀就直接看定位出的东西在源码所对应的代码修改就ok。
3、OD
作为一款神器,OD有很多作用,破解,免杀啊,都需要它,做免杀不必要学汇编,通读几遍80×86就差不多了
4、LordPE
LordPE,是一款功能强大的PE文件分析、修改、脱壳软件。LordPE是查看PE格式文件信息的首选工具,并且可以修改相关信息。我没有用LPE脱过壳,LPE比较常用的功能就是修改地址,查看区段以及区段入口地址,查看和修改输入表以及计算位置,重建PE功能有时会用到
5、ImportREC
一款傻瓜式的输入表重建工具,用于做预处理效果很好的
6、VC++6.0/visual studio
不解释
7、数字签名
作用就是给软件加上一个数字签名,对启发式和主动有一定效果
三、关于杀软排名不分前后
1、360。
360作为中国杀软上的后期之秀,占中国杀软很大部分的市场,当时09,10年的360是非常弱的,定位根本无干扰,但现在的360查杀能力不在话中,但误报率过高,现在5引擎,小红伞,BD,QVM其中BD,木伞都是可以定位的,但QVM是一个伪启发,但是QVM07可以用定位,一般QVM都是杀输入表,杀壳,入口点,资源这些。
HEUR/Malware.QVM06.Gen 一般情况下加数字签名可过
HEUR/Malware.QVM07.Gen 一般情况下换资源
HEUR/Malware.QVM13.Gen 加壳了
HEUR/Malware.QVM19.Gen 杀壳 (lzz221089提供 )
HEUR/Malware.QVM20.Gen 改变了入口点
HEUR/Malware.QVM27.Gen 输入表
HEUR/Malware.QVM18.Gen 加花
HEUR/Malware.QVM05.Gen 加资源,改入口点
QVM07加资源一般加到2M会报QVM06
再加数字签名,然后再慢慢减资源,这个方法对大部分木马有效果。
QVM06 加数字签名
QVM12杀壳
QVM13杀壳
QVM27杀输入表
QVM19 加aspack
QVM20就加大体积/加aspack压缩
2、金山毒霸
金山走的是云安全,云防护,云鉴定这些云安全路线,所以,断了网后金山就是个废,原来有大牛这样写过马的,先运行时断开网络,然后释放出马,再运行,运行成功后就连接网络,这样是可以使免杀效果更好一些。现在在天朝大部分的人都用的360和金山
3、江民
江民定位就OK,主要是对特征码字符串和资源进行查杀(具体方法已经记录到私密博客)。
4、瑞星
瑞星曾经是很霸气的,现在低调了许多,主要是主动防御拦截(具体方法已经记录到私密博客)
5、安天防线
安天防线作为一款不是杀软的杀软,现在是纯特征码扫描。
6、卡巴斯基
非常变态的一款杀软,误报低,查杀率高,特征码+输入表变态查杀+静动态启发式+强力的虚拟机脱壳技术。人类已经无法阻止卡巴斯基的输入表查杀了,在反汇编下,你无论对输入表怎么重建,移位都不行,需要进行手动异或加密。
7、NOD32
我个人认为的最好的杀软,NOD32主要盯的是资源和输入表,他的启发式是相当不赖的,而且NOD32抗定位干扰非常强,一般是定位的不出特征码了,需要手工一段一段的找特征码大致所在区域,再修改,这样是非常耗时的,而且一上报,就完蛋。所以一般的不会做NOD32的免杀
8、诺顿
诺顿不是NOD32,诺顿的主动防御貌似的是很牛B,但表面查杀一般(具体方法已经记录到私密博客)。
9、小红伞,木伞
小红伞的特征码定位抗干扰技术比较好。还有小红伞的启发式也比较不错(具体方法已经记录到私密博客)。
10、BD
比特焚德,以全球最大的病毒库著名,HIPS+特征码+虚拟机+高启发,还是不错的
四、杀软的查杀方法
1、最基础的查杀
特征码查杀你说杀软要认为这个东西是个木马得有个判断条件吧,总不可能随便给你杀了。特征码就是最基础的查杀方式。特征码是什么?特征码就是病毒分析狮从病毒中提取的不大众化的不大于64字节的特征串。通过判断是否有这个特征字符串从而确定是否为病毒。通常为了减少误报,一个病毒会取数个特征码。
2.1、静态启发式
静态启发式即对整个软件进行分析。首先,杀软会规定规则,这个问题规则就是法律一样的,如果静态启发式分析出了杀软中的规定的法律,那么他的怀疑等级就会提高,跟起诉一个犯罪嫌疑人的证据一样,证据越多,那个人的可疑性就越高,到一定程度,就成了做坏事的人
2.2、动态启发式
动态启发式又叫虚拟机查杀技术,会模拟出一个近似于windows的系统,但没有我们使用的windows那么全健,杀软会把病毒丢进他的虚拟机里,进行操作监视,如果操作越可疑,就越容易被定为病毒这段话为了大家能看懂,我省去了一些专业术语
3、HIPS
HIPS可以说是主动防御,何为主动防御,一个马儿如果通过了表面查杀,那么主动防御就是最后一道防线,既然是最后一道防线,做得肯定要很牛咯。HIPS主要是对一个软件运行时的进行检测,如果发现软件有注册表操作,加载驱动这些一般程序不应操作的操作时,那么他就会以他R0级的优势,拦截掉,并将程序暂停运行,也就是挂起,询问用户是否进行该操作。
4、云安全
云查杀。这个是这样的。首先,杀软那里有一套规则,如果一个软件触犯了这些规则,则杀软会上报至云服务器,到了云服务器后,则会对上报文件进行鉴定,可能会是人工鉴定,这样的效果比杀软查杀效果要好得多。那么如果分析出这个程序是病毒,那么就会将这个程序的MD5发生至云中心,用户在联网状态下杀毒的话,就与云中心核对MD5,如果对上了,无条件认定为病毒
五、免杀方面的术语
1、API
Windows API是一套用来控制Windows的各个部件的外观和行为的预先定义的Windows函数。用户的每个动作都会引发一个或几个函数的运行以告诉Windows发生了什么。API这个,我也说不清。我认为是这样的,程序的操作都会有一个API,有些操作产生的API则是可疑的,如,写注册表这一类的api就会被杀软所盯上,报为病毒。
2、花指令
花指令是一段无用代码,用来迷惑杀毒软件。就好像男扮女装,用来伪装自己。
3、输入表
输入表是每个程序必备的,里面有程序所调用的大小姐函数,而一些可疑操作的函数则会引起杀软注意。
4、区段
区段是程序保存数据的地方,不同的区段保存了不同的东西,大家可以用LPE打开一个程序,找到区段选项,就可以看到区段了。
5、加壳
加壳分为加压缩壳和保护壳〔加密壳〕压缩壳是目的是使程序变小,但无保护程序防止被反破解的作用。保护壳恰恰相反,保护壳的目的是使程序尽量防止被反汇报,但好的保护壳会议给程序植入大量垃圾代码,以干扰破解版者,所以程序会变大。
6、反启发
即加入对杀软的启发式干扰的代码
7、隐藏输入表
即让输入表无法在c32中出现。
网络安全学习包
资料目录
-
成长路线图&学习规划
-
配套视频教程
-
SRC&黑客文籍
-
护网行动资料
-
黑客必读书单
-
面试题合集
282G《网络安全/黑客技术入门学习大礼包》,可以扫描下方二维码免费领取!
1.成长路线图&学习规划
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
2.视频教程
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。
3.SRC&黑客文籍
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦!
4.护网行动资料
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
5.黑客必读书单
**
**
6.面试题合集
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
更多内容为防止和谐,可以扫描获取~
朋友们需要全套共282G的《网络安全/黑客技术入门学习大礼包》,可以扫描下方二维码免费领取!
END
306
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
