红队笔记之杀软原理介绍与免杀技术总结

杀软的常用杀毒引擎

搞免杀之前呢肯定要对杀毒软件的查杀方法进行了解，了解后才能有效的制定绕过策略，以达到的免杀的目的，因为免杀本就是一个对抗的过程所以任何免杀都有着自己的时效性。下文将分别分析杀软的常用引擎原理，并介绍绕过思路。

杀毒引擎的原理与对抗

病毒查杀引擎

核心原理

此为杀软最基础的功能，主要原理是将文件的特征与病毒库所包含的特征进行匹配。

主要手段

1、文件名称或MD5值是否具备木马特征；

2、程序是否调用了系统危险函数，virtualalloc，rtlmovememory，ntcreatthread等；

3、shellcode的特征码匹配，如通过mov r10d, 0x0726774C判断是否为msf脚本；

• 可以使用myccl+ida详细找一下具体查杀的哪个位置，从而对应性修改。

4、判断文件是否存在有加解密行为，或其他额外的保护措施，如加壳；

对抗思路

1、避免使用可疑名字，投递前稍微修改程序以改变md5值；

2、避免使用危险函数进行系统调用；

3、对于shellcode进行随机性较高的加密，如自己编写加解密算法；

4、将加载器与shellcode进行分离；

5、程序中植入花指令；

文件监控引擎

核心原理

通过驱动向内核注册一系列的文件操作回调，来监控整个系统的文件操作。

主要手段

1、通常由微软提供的minifilter框架实现，一般得监控策略为

• 文件执行时触发；
• 文件执行或修改时触发；

对抗思路

1、因为此处操作的是文件系统可以采用无落地，或者内存马的形式进行绕过

主动防御引擎

核心原理

对于危险api进行监控，当程序运行时有调用这些被监控的api则认为存在危险

• 并非所有应用调用api都会进行监控报毒，其内部有一部分白名单程序

主要手段

1、检查程序是否有修改注册表，防火墙，组策略，添加用户，或调用敏感程序如cmd，powershell ，psexec 等

对抗思路

此种较难较难处理一般采用白加黑(exe(白) —load—> dll（黑）)的思路进行绕过

启发式查杀引擎

核心原理

所谓启发式查杀其实是利用病毒程序与正常程序启动或运行时，所做的行为不同来判断是否为病毒程序，多数结合人工智能手段进行判断，一般误判可能性较大；

主要手段

1、将程序放到自己的沙箱中运行，判断是否存在危险行为

对抗思路

1、加载器，payload，密钥分离(若有)为三个文件，或者是两个文件；

• 此⽅法对⽊⻢的使⽤场景要求较⾼，如进行钓鱼容易被识别。

2、程序执行前判断当前程序所处环境，来判断是否继续执行，还是直接return；

• 此处使用白名单（当前运行环境有什么特性则运行，如具有QQ进程），或黑名单的思想进行判断（如判断信息信息中是否包含vmware字样）
• 常见的判断手段还有；进程信息，注册表信息，特征文件信息，外设信息，内存大小，程序执行速度等。
  • 较为高端的沙箱可能会根据你的系统调用，给你返回假的信息，此处可以如果绕过可以取调用根本不可能存在的信息判断沙箱
  • 我们可以让程序运行时将运行环境的各种信息发送给我们的一个服务端，用以长期的分析沙箱特性作为对抗

云查杀引擎

核心原理

云查杀相对容易理解，即将木马文件上传至云端服务上，由云端服务进行分析；

• 因为需要上传至云端，所以失效性相对较差

主要手段

云端上可能会是沙箱执行，或者机器学习分析，甚至人工分析；

对抗思路

参考启发式查杀对抗思路

常见云查杀平台有：virustotal，微步云沙箱，大圣云沙箱，antiscan

网络监控引擎

核心原理

网络监控引擎主要是通过对于网卡的流量的监控，来识别攻击事件；

主要手段

1、与威胁情报信息结合，判断IP，域名，证书等，是否被标记为高危；

2、监控流量的特征，通过流量特征判断是否高危；

• 时间特征：特别频繁的流量访问会被监控到，如漏扫的扫描。
• 结构特征：是否为已知远控的通信结构。
• 内容特征：对于请求中的数据进行关键字匹配，判断是否存在危险特征的关键字。

对抗思路

1、c2服务器可以短期使用，或定期重置和更新IP域名

• 魔改c2的特征也能有效防止被威胁情报标记为高危，如CS的50050端口，威胁情报平台识别cs特征后会把对应Ip标记为高危

2、对于传输内容进行加密，防止结构与内容匹配

3、使用合法证书

4、扫描使用较慢速度，并更换ip和ua头等信息