<黑客免杀攻防>第三章 免杀与特征码 阅读笔记

最新推荐文章于 2024-10-25 15:59:54 发布
最新推荐文章于 2024-10-25 15:59:54 发布
阅读量1k 收藏 2
点赞数 1
分类专栏: 读书笔记 苦行僧之路
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dalerkd/article/details/40662693
版权

MyCCL一试

该章前部分介绍了一般的寻找"特征码"的方法以及利用方法的工具

like:CCL,MyCCL,以及一款为了让某些杀软识别扩展名而需要的文件名批量修改工具-"Rulk Rename Utility"


我用MyCCL对"runouce.exe"进行了处理,用毒霸进行了扫描.经过四次处理结果如下:



准确的说这是 chinesehacker2病毒你可以从该病毒样本中看到它"chinesehacker2"的明文字样.


MyCCL实战

注意有些杀软会识别出填充00值而释放干扰伪特征码使定位不准确.


附:一款最新来自Freebuf了解到的寻找特征码的工具,

优点是遵循了最新的病毒引擎查杀逻辑而不再像MyCLL靠运气

"VirTest5.0特征码定位器(开源)"


MyCCL定位内存特征码

1断网(大约是防止杀软连网识别)

2客户端免杀

先勾选生产内存样本然后需要TK.loader加载到内存.



3.6特征码修改

简单修改:

a大小写替换

除了API名称外windows系统对大小写一般不敏感,而杀软基于代码却敏感.


b"00"字节填充


c加1减1

16进制相近的指令据说功能会相近


进阶修改:

OFFSET>RVA

1空白区域跳转法

2nop位移法(小区域)

3紧邻语句上下调换

4等价替换法




dalerkd
关注
专栏目录
特征定位器-VirTest
whg0001的专栏
02-16 6495
VirTest5.0理论分析: 目前比较常有名气的特征定位器主要有CCL与MYCCL,他们都采用文件分块定位的办法,定位效果带有运气成份,且可能每次定位出的位置都不尽相同,这个免杀带来了困难。研究杀毒软件特征时日渐久,慢慢认识到这样一个事实:杀毒软件在判断特征时,一般会解析文件格式,例如PE文件,大致过程可以认为检查这些关键项目MZ -> PE - >CODE->DATA->IMP
黑客免杀攻防学习笔记》——免杀特征
Traxer的学习之路
12-17 1794
以下图片均来自《黑客免杀攻防》若有侵权,请告知,我将最快删除。转载请注明出处。 1.特征免杀技术          这里主要是用到分割法,就是将一份病毒文件分割成多份让反病毒软件扫描,然后再将扫描出有问题的那份文件再次分割,直到分割到长度适合为止。如下图所示: 若是获得合适的文件之后,再将这份文件进行相应的处理,比如可以添加一些花指令等代混淆技术。因为许多杀毒软件进行查杀都是
黑客免杀攻防】读书笔记2 - 免杀特征、其他免杀技术、PE进阶介绍
weixin_30378311的博客
07-14 404
第3章 免杀特征 这一章主要讲了一些操作过程。介绍了MyCCL脚本木马免杀的操作,对于定位特征在FreeBuf也曾发表过类似工具。 VirTest5.0特征定位器 http://www.freebuf.com/sectool/40580.html 细读一遍这一章的知识才知道自己当时使用MyCCL免杀失败的原因。因为某些反病毒软件的扫描器采用的是密校验和技术,密校验和指的是将一...
免杀神器-virtest定位特征
qq_29437513的博客
07-06 3950
这工具很老了,但还有很多大佬在用,, 下载地址: http://static.3001.net/upload/20140812/14078161556897.rar 目录 介绍: 如果你想做一个不被杀毒软件报毒这个工具就是你必备的免杀必备工具,VIRTEST采用2分排除法,测试标志C所在文件中的位置,由于被杀的文件可能存在多个 类似于ABC这样的连锁条件,所以我们必须要通过一种排除机制,先要找最靠近文件前部的连锁条件,排除掉文件尾部数据,当找到第一个连锁条件后,抹掉引标志C,再恢复尾部数据,然后继续
免杀技术有一套(免杀方法大集结)(Anti-AntiVirus)
热门推荐
anhkgg的专栏
05-22 1万+
00. 概述什么是免杀?来自百科的注解: 免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,翻译为“反杀毒技术”。 有本比较有名的书,想详细学习的同学可以去看看。《黑客免杀攻防》 其实我大概好像只看过目录…( ╯□╰ ) 下面我介绍的是自己实践的一些方法,有没有效果,试试就
VirTest5.x.zip
03-13
VirTest5.x,带源,自己收藏,一直用来处理易语言被误报的问题! 需要的收藏,不要拿去做坏事
黑客免杀攻防》读书笔记01
Eira_H的博客
03-23 388
1.开始免杀的步骤:目标反病毒软件强度如何? 目标反病毒软件有何弱点? 目标反病毒软件使用了什么独特的反病毒技术? 要怎样才能突破它? 待处理的恶意程序是用什么语言写的? 待处理的恶意程序的二进制代是否已经被混淆或者加密过了? 待处理的恶意程序的使用人群是否广泛?2. intel的特权级别有四层Ring0:底层,内核层,也是操作系统的底层,只供操作系统使用 Ring3:高级层,也就是
黑客免杀攻防学习笔记》——反病毒软件与免杀原理
Traxer的学习之路
12-17 1444
1.反病毒软件原理与反病毒技术介绍 1.1反病毒软件工作原理 反病毒软件一般由扫描器、病毒库与虚拟机组成,并由主程序将他们整合在一起。扫描器用于查杀病毒,大多数反病毒软件基本都由多个扫描器组成,病毒库存储着特征,存储形式取决于使用的扫描器,虚拟机相当于沙盒。 1.2基于文件扫描的反病毒技术 可分为“第一代扫描技术”、“第二代扫描技术”和“算法扫描”3种。下面就先简要介绍一下这三种扫描技术
红队系列-shellcode AV bypass Evasion免杀合集
aming小老弟
11-13 1565
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征绕过有非常好的效果,加密壳基本上可以把特征全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
Web安全攻防渗透测试实战指南笔记
Ren59421的博客
04-05 8133
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程...
VirTest5.0.rar
11-12
VirTest5.0.rar
特征定位工具
08-07
这款特征软件相比较于ccl有很大的改善,新增复合特征定位。具体的使用方法,可以上网看。
VirTest5.0
09-19
绝对不一样的定位工具,绝对给力哦,不信可以试试
rar5.0.rar
05-18
rar无广告,永久版 winrar-x32-sc.exe winrar-x64-sc.exe
定位模拟器-5.0
03-07
开发测试APP需要模拟手机定位的时候使用,可以自由的改变手机的GPS定位,使用前需要root
免杀小结-
ZxC789456302的博客
09-26 6298
先来假设一下报毒过程,对于PE文件的检测,如果在CODE位置存在标志A,在DATA位置存在标志B,在资源位置存在标志C,同时满足这三个条件,那么杀软就会报毒,VirTest工作原理就是要找到引起报毒的最后一个标志,也就是C。最后,终极修改方法,找到访问数据的代,直接修改代访问数据的地址,数据也可以放到其他地址了,其实就如同修改源一样修改,肯定没有修改源那么容易(见后)。使用ResHacker对文件进行资源操作,找来多个正常软件,将它们的资源加入到自己软件,如图片,版本信息,对话框等。
免杀对抗-成品EXE免杀-反特征-通用跳转
xiaoheizi的博客
10-04 1988
1.将工具和exe程序放到环境中,启动程序,点击制作测试文件---选择exe程序,点击ok后会在工具目录下生成一个virtest.vir文件。因为目标使用的是火绒,所以我们自己搭建一个火绒环境,使用VirTest工具检测出exe程序的什么地方被火绒杀了。所以需要再次修改特征处:将保存了00区间修改的exe程序拖入ollydbg工具中,搜索定位特征汇编地址后四位。22.开启火绒检测,只保存了00区间修改的半成品被杀了。9.定位到特征处,向下滑动一下,然后选中复制,将特征的汇编地址保存起来。
【内网渗透】利用非常规手段突破安全策略上线CS
HBohan的博客
10-28 1239
前言 本文为一篇利用非常规手段突破安全策略的内网渗透记录 【查看资料】 环境简述&说明 web打点getshell,webshell是冰蝎,权限为.net,权限很低,服务器为server 2016,目标不出网! 装有杀毒软件(火绒、微软自带的WD),ASMI默认开启,而且对power shell有特殊策略限制。 Tcp、icmp、DNS协议不通,无法直接与公网的cs服务端建立连接,(内网的cs服务端也无法与其建立连接)公网也无法访问目标web服务(纯内网web服务) 极其严格的出入站策略 入
免杀对抗—特征修改&花指令&资源修改&加壳保护
最新发布
2301_76227305的博客
10-25 1030
特征修改还是可以的,缺点就是不能做到通杀,只能针对某个杀软来修改,优点就是效果好。这个技术是属于比较老的了,而且过程又麻烦,现在几乎没有什么课会讲到这个技术了,就我所知只有小迪讲。花指令我感觉过时了这个玩意,也可能是我添加的太少了,加几十条可能效果好点,但是我懒。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值