<黑客免杀攻防>第二章免杀基础知识 笔记

最新推荐文章于 2023-06-27 13:54:51 发布
最新推荐文章于 2023-06-27 13:54:51 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: 读书笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dalerkd/article/details/40618741
版权

2.2节提到神经网络用于病毒文件的识别,特别是对于EPO(入口点模糊技术)具有较好的检出能力.

笔记:

因为几乎所有的病毒检测软件都会针对PE文件的入口点位置的合理性进行判断,如果入口点不在段代码中,程序会被标记.

一种可行的方法是:在距离正常入口点较近的地方jmp处跳转到病毒体或者call调用api函数时候跳转到病毒体.

更有效的方法,也就是EPO,通过对距离入口点区域有一定距离的随机地方寻找call申请一个指针,将指针修改成指向病毒模块的地方.



2.3PE文件

PE文件

具有PE结构的文件包括但不限于

exe,src,dll,sys,ocx扩展


PE全称Portable Executable(可移植的执行体)

庞特棒,A个然凯特帮


结构:

DOS文件头

DOS文件加载模块

PE文件头

区段(节)表:

.text

.data

.rsrc

位置,区段大小,读写权限


关于PE格式的更深的内容在书中第七章.


2.4免杀原理:

1文件免杀原理

a改特征码:

特征码,校验和

b花指令:

变更程序偏移量,

扰乱程序执行顺序,

为反病毒者布下陷阱.

c加壳免杀:

压缩体积,保护内容

运行前的罩子,逐步还原到内存中最后执行

详情见第6章


2内存免杀原理

类似于文件查杀基于内存特征


3行为免杀原理

文件防火墙>主动防御>云查杀


对抗方法:0day漏洞,本地缓冲区溢出等

总结为:条条大路通罗马.


4工具脱壳技巧

a压缩壳UPX
b加密壳

代码乱序,代码混淆

c虚拟机保护壳

自定义了CPU-软件CPU

遵照自己约定的TextCode

CPU本身指令很复杂:

OpCode(Intel机内码01)对应的虚拟机保护编码格式可能是随机生成的.


虚拟机:

1模拟虚拟机

如VM

2反病毒虚拟机

以引擎的形式出现,为应用程序提供必要环境,捕捉目标程序的行为

3软件保护虚拟机

加密的目的,只提供简单的解码和堆栈模拟操作,将解码后的操作提供给"软件CPU"去处理.

只有和被保护软件需要与实际操作系统交互时才将准备好的请求和及堆栈环境提交给系统执行.


VMUnpacker不错(超级巡警病毒分析工具)

PEID

强悍的QuickUnpack

扩展概念:导入表,导出表


本章结束.


dalerkd
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
学习免杀技术请从下面开始
瞎几把学
08-25 818
 1.基础的汇编语言2.修改工具(不指那些傻瓜式软件)。如:OllyDbg . PEditor. C32ASM . MYCCL复合特征码定位器。UE .OC. 资源编辑器等。还有一些查壳 脱壳软件(如:PEID RL脱壳机等) . 以下是常用的几种免杀方法及工具:一、要使一个木马免杀首先要准备一个不加壳的木马,这点非常重要,否则 免杀操作就不能进行下去。 然后我们要木马的内存免杀
免杀技术有一套(免杀方法大集结)(Anti-AntiVirus)
热门推荐
anhkgg的专栏
05-22 1万+
00. 概述什么是免杀?来自百科的注解: 免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,翻译为“反杀毒技术”。 有本比较有名的书,想详细学习的同学可以去看看。《黑客免杀攻防》 其实我大概好像只看过目录…( ╯□╰ ) 下面我介绍的是自己实践的一些方法,有没有效果,试试就
免杀技术详解
人生代码,代码人生。。。
11-19 4095
[免杀]免杀技术详解 杀毒软件奈我何                     ——免杀技术详解 逆流风 注:本文是去年投给黑客X档案的,与那期的主题乐园内容重叠,故未被选上,我也不另投其他杂志,转贴请注明出处,保留版权。 一、加壳免杀 壳按照性质不同可分为压缩壳和加密壳,使用压缩壳压缩过的软件体积会减小很多,我们常用的UPX、ASPACK、FSG就是压缩壳,加密壳是防止软件被破
木马免杀浓缩精华版教程
07-13 821
木马免杀浓缩精华版教程木马免杀浓缩精华版教程第一部分:对国内外杀毒软件分析   在讲定位内存特征码前,先要分析国内外著名杀毒软件的内存查杀特点。大家在使用木马过程都会发现,内存查杀,一般都指得被瑞星的内存查杀。瑞星的内存查杀功能是同类杀毒软件中最强的一款杀毒软件。像强悍的卡巴,金山,等等它们的内存查杀意义不大,会制作免杀木马的人都知道,像这类杀毒软件,只要文件免杀,内存也就免杀了.还有江民也有
渗透测试-木马免杀的几种方式
MSB_WLAQ的博客
09-28 4529
前言 免杀,又叫免杀技术,是反病毒,反间谍的对立面,是一种能使病毒或木马免于被杀毒软件查杀的软件。它除了使病毒木马免于被查杀外,还可以扩增病毒木马的功能,改变病毒木马的行为。免杀的基本特征是破坏特征,有可能是行为特征,只要破坏了病毒与木马所固有的特征,并保证其原有功能没有改变,一次免杀就能完成了。免杀技术也并不是十恶不赦的,例如,在软件保护所用的加密产品(比如壳)中,有一些会被杀毒软件认为是木马病毒;一些安全领域中的部分安全检测产品,也会被杀毒软件误杀,这时就需要免杀技术来应对这些不稳定因素。 1、裸
网络靶场实战-免杀技术进程隐藏
蛇矛实验室
12-13 522
隐藏的时候需要提前找到一个载体。我们目前通过的是读取文件获取我们demo的exe,可以提前获取好,放到我们的内存中,这样更隐蔽。需要注意main函数和winmain,main函数会报错蛇矛实验室成立于2020年,致力于安全研究、攻防解决方案、靶场对标场景仿真复现战法设计与输出等相关方向。团队核心成员均由从事安全行业10余年经验的安全专家组成,团队目前成员涉及红蓝对抗、渗透测试、逆向破解、病毒分析、工控安全以及免杀等相关领域。
30.远控免杀专题(30)-Python加载shellcode免杀-8种方式(VT免杀率10-69)1
08-03
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!文章打包下载及相关软件下载: ht
免杀入门(基础理论)
NZXHJ的博客
09-14 2824
免杀入门的理论相关学习笔记
免杀学习-基础学习
weixin_41489908的博客
12-15 1626
女孩可以在社会上遇到比在学校更优秀的男生,而男生在社会上或许再也遇不到比学校里更优秀的女生了。。。 ---- 网易云热评 一、名词解释 单从汉语“免杀”的字面意思来理解,可以将其看为一种能使病毒木马避免被杀毒软件查杀的技术。但是不得不客观地说,免杀技术的涉猎面非常广,您可以由此轻松转型为反汇编、逆向工程甚至系统漏洞的发掘等其他顶级黑客技术,由此可见免杀并不简单。免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus..
Hash值计算工具图表易换,免杀技术,密码算法,加密工具。
11-11
Hash值计算工具Hash值计算工具,简单易用。计算Hash值的工具。图表易换,免杀技术,密码算法,加密工具。Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具。。。
软件免杀技术介绍,完善杀毒技术
11-06
软件免杀技术介绍,完善杀毒技术。 软件免杀技术介绍,完善杀毒技术
渗透技巧 | 有手就行的白加黑实战免杀
最新发布
2201_75362610的博客
06-27 1769
最近一直在打攻防,很多时候都需要用到免杀,那么怎么能快速做免杀和权限维持就是一个问题,于是就想起来利用白加黑快速做免杀或权限维持,俗称有手就行,废话不多说直接开干!
[系统安全]《黑客免杀攻防》MFC逆向基础实战
H4ppyD0g的博客
12-25 1917
本文为笔者从零基础学习系统安全相关内容的笔记,如果您对系统安全、逆向分析等内容感兴趣或者想要了解一些内容,欢迎关注。本系列文章将会随着笔者在未来三年的读研过程中持续更新,由于笔者现阶段还处于初学阶段,不可避免参照复现各类书籍内容,如书籍作者认为侵权请告知,笔者将立刻删除。强调本系列所有内容仅作为学习研究使用,作者对此文章中的代码造成的任何后果不负法律责任。
免杀入门学习---------2019.8.27
ins_Digger的博客
08-27 856
写一个啃书记录,写一下知识点和自己的理解。 peace! (主要是图书馆借的书不能圈圈画画,我也不想动笔,写一下博客挺好的。) 这篇随笔的大部分内容来自《黑客免杀攻防》 第一章说的免杀的历史,点了一下免杀和Rootkit的区别。 Rootkit的词条介绍 当然,一个菜鸟怎么会理解呢,只能默默地记一下,接受了。 第二章 免杀基础知识 罗列一下个人觉得比较重要的点: 1.基于文件扫描的反病毒技术 ...
黑客免杀攻防学习笔记》——C++设计一个简单的壳1
Traxer的学习之路
12-23 3571
本文中的代码均来自《黑客免杀攻防》,如要转载,需写明来源,请勿用于非法用途,作者对此文章中的代码造成的任何后果不负法律责任。 看了一遍书本的第11章,感觉内容确实比较高级,之前虽然自认为是热衷于搞C/C++开发,但是运用windows API的开发真的是太少了。先来看看一个简单的壳的编写。          这个加壳脱壳程序分为三部分,首先是用MFC写的界面程序,这个自然不用多说,主要功能就是
黑客免杀攻防学习笔记》——PE文件结构1
Traxer的学习之路
12-17 1688
文章中的图片大部分为自己做截屏,少量摘自网络,若有侵权请及时告知,我会尽快删除。转载请注明出处。 1.MS-DOS头          DOS头主要就是为了兼容之前的DOS操作系统,DOS头后面便是DOS Stub,这两部分构成了MS-DOS可执行文件的基本要素,如果PE文件运行在DOS系统中便会执行Stub中的代码,一般上都是“Thisprogram cannot run in DOS
黑客免杀攻防】读书笔记15 - 源码免杀、C++壳的编写
weixin_30715523的博客
07-09 502
1、源码免杀 1.1 定位产生特征的源码 定位文件特征 1、根据MyCCL的特征码定位工具,定位出有特征的地址 2、根据VS的反汇编窗口,输入有特征的地址得到特征地址与源码的关系 3、插入MessageBox,然后定位出特征码离哪个MessageBox最近,并在附近以更高密度安插MessageBox,最终定位出产生特征码的源码位置。 定位行为特征 1、启发式检测方法:特征...
黑客免杀攻防》读书笔记----修改壳(打补丁)
还木人的博客
10-12 350
像一般的杀毒软件、查壳软件(PEID)的工作原理就是,通过查看软件中包含的病毒的特征码、壳的特征码。比较来判断的。 一种简单的思路,就是手动(或者工具)找到这些特征码,再在不改变程序的执行效果的情况下,想办法破坏特征码,来达到免查、免杀的目的。 记录一次制作北斗壳的补丁。 cosh加壳后: 9C60E8000000005D83ED078D8D6EFEFFFF8039010F8442020000...
黑客免杀攻防全揭秘:反病毒工程师的终极指南
在基础篇(第1~6章),读者将学习到黑客免杀技术的基本技巧,如查找和修改特征码、常见的特征码绕过策略、壳在免杀中的运用、特殊指令的利用以及基础的免杀基础知识。这些章节对于理解黑客如何规避反病毒检测至关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值