今天摸鱼的时候逛了逛大佬们的文章,其中看见免杀这个字眼让我想起了前两个月去xx的时候接触到了这个东西,小白出身,感觉还挺有意思的,写个文证明我学过/doge
一、什么是免杀?
先上官方:
免杀技术也叫做反杀毒技术(Anti Anti- Virus)简称“免杀”,它指的是一种能使病毒木马免于被杀毒软件查杀的技术。
通俗来讲,就是你上传的这个马,别人杀软不容易探到你,这个code能通过杀软的判断。
二、杀软的工作原理
首先先说一下杀软是怎么干活的吧。现在市面上的杀软大多都是扫描器、特征库、虚拟机组成,原理就是拿到文件后,把文件扔到虚拟机,扫描文件的行为特征、静态特征、内存特征,通过比对它的特征库来判断这个文件是否为恶意文件。
三、查杀原理
杀软的查杀方式。主要分为动态,静态免杀,其他的还有特征码、沙盒分析、信息熵检测等,简单说一些
1.静态启发
静态启发怎么说呢,可以理解为一个通缉令吧,当杀软分析恶意文件时,如果恶意文件中分析出的特点和通缉令画像越来越相符,那就会提高怀疑等级,怀疑等级高就被认定为存在危害。
2.动态免杀
动态免杀的大概就是杀软它存在一个windows虚拟机,将要分析的恶意文件扔到虚拟机里面进行监视,发现程序干坏事了就把你寄了。
3.特征码
特征码这个概念,相信师傅们都懂,是从病毒中分析出一串不大于64位的特征串。杀毒软件扫描是基于一个标准来判断被扫描的文件是否为恶意文件,那么其中一个标准就是根据特征码判断,如果你上传的这个马的特征码和恶意标准相符了,那就直接噶掉你了。当然不同杀软的特征库不同,相反可以通过修改特征码来进行免杀。
4.主动防御
杀软除了扫描来排查,当然还有主动防御—HIPS,HIPS可以理解为底线,不可能说扫描不到你,你就可以遨游了,如果发现程序有不正当操作,或者执行了其他程序不应该有的执行,就会拦截掉你。
等等
四、免杀简介
说完查杀原理之后,当然会有相应的免杀操作,免杀可以是基于以上查杀原理,比如改个特征码绕过之类的,这是扫描免杀,还有其他的内存免杀,流量分析免杀,行为分析免杀,机器学习免杀,逆向免杀等等(当然这些我都不会)。
五、免杀原理
嗯就我所了解到的免杀原理有加花、加壳、特征、内存、二次、分离、改资源。小白水平有限,也只能是说说我知道的吧。师傅们别喷
1.加花指令
所谓的加花指令,就是加入一段垃圾指令来干扰杀软。
2.加壳
单说"壳"对于小白来说可能有点抽象,"壳"就是保护软件不被非法修改和反编译,它会优先于软件运行,先拿到控制器保护软件完成运行,然后再归还控制权。壳分为压缩壳、加密壳、伪装壳等等。压缩壳是使程序变小,加密壳相反,好的壳会给程序加入大量的垃圾代码来作为干扰,因为是大量的码,所以程序也会很大。
3.特征码修改
这个在上面有提,也很基础,所以不再细说了。
4.二次编译
这个是通过c/c#、py对shellcode进行二次编译从而免杀。
5.内存免杀
这个我并不太清楚,借鉴大佬讲解是说内存扫描和硬盘文件扫描一样,会对比特征码,需要特征码欺骗。加壳的程序解密后会又有一个特征码,再加上文件本身的特征码,需要两个特征码全部混淆,内存免杀也需要能混淆源代码的壳。
6.资源修改
太麻烦,寄。
明天还有课。先这样,有说的不对的地方大佬们喷喷我。/doge狗头保命
2741
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
