本文介绍了木马免杀的基础知识,包括杀软的工作原理、基于文件扫描的杀毒技术,如通配符扫描、智能扫描和近似精确识别法。此外,还讨论了壳的种类、壳的变异操作,以及如何通过加花指令、特征码和关键字修改来避免杀软检测。最后,文章提到了主动防御和SYS文件的免杀策略,强调组合使用多种技术来提高免杀效果。
参考书籍:《木马攻防全攻略》 --万立夫编著 --电脑报电子音像出版社
参考链接:https://www.52pojie.cn/thread-32064-1-1.html
推荐的免杀思路链接:http://www.cnhonkerarmy.com/thread-187791-1-1.html
http://www.cnhonkerarmy.com/forum.php?fromuid=964594&mod=viewthread&tid=224610
本篇文章只对主机木马进行基础的描述,脚本木马,一句话等网马不做描述
现在进入正题
一、杀软原理基础
杀软一般由扫描器、病毒库与虚拟机组成,并由主程序将他们结为一体,扫描器是杀软的核心,用于分析发现病毒。一款杀软的杀毒效果直接取决于他的扫描器编译技术是否先进,而且杀软的不同功能往往对应着不同的扫描器,也就是说大多数杀毒软件是由多个扫描器组成的
而病毒库存储的特征码形式则取决于扫描器采用哪种扫描技术,它里面存储着很多病毒独一无二的特征字符,称之为“特征码”,特征码总的来分只有两个:文件特征码与内存特征码。文件特征码存在于一些未执行的文件里,而内存特征码仅仅存在于内存中已运行的应用程序,而虚拟机则可以使病毒在一个由杀软构建的虚拟环境中运行,与现实的CPU、硬盘等安全隔离,从而更加深入的检测文件的安全性
二、基于文件扫描的杀毒技术
基于文件的杀毒技术可以分为“第一代扫描技术”、“第二代扫描技术”与“算法扫描”这三种方法,对于免杀爱好者来说,要对每一种方法烂熟于心,才能成为高手!但做为一个初学者来说了解一下即可。这里我们就简单介绍一下其中两种种方法,详细的技术原理如果各位得这有兴趣的话可以自己研究。
1、通配符扫描技术
通配符扫描技术属于是第一代扫描技术的一个分支,对于“通配符”,可以理解为具有一定意义的符号,例如DOS命令里的*号就是任意长度的任意字符的意思,而且通配符在不同的领域也里可以代表不同的意思。
现在杀毒软件中简单的扫描器常常支持通配符,因为鉴于字符串扫描技术的执行速度与特征码长度限制等问题,使得其逐渐退出历史舞台,取而代之的是通配符扫描技术,通配符扫描技术以同样简单的原理与技术却实现了更为强大的功能。
扫描器中的通配符一般用于跳过某些字节或字节范围,以至于现在有些扫描器还支持正则表达式!
下面我们通过一个例子来讲解通配符扫描技术的原理。
例如我们的病毒库中有这样一段特征码:
0400 B801 020E 07BB ??02 %3 33C9 8BD1 419C
上面的特征码可以解释为:
1、尝试匹配04,如果找到则继续,否则跳出。
2、尝试上一匹配目标后匹配00,如果找到则继续,否则跳出。
3、尝试上一匹配目标后匹配B8,如果找到则继续,否则跳出。
4、尝试上一匹配目标后匹配01,如果找到则继续,否则跳出。
5、尝试上一匹配目标后匹配02,如果找到则继续,否则跳出。
6、尝试上一匹配目标后匹配0E,如果找到则继续,否则跳出。
7、尝试上一匹配目标后匹配07,如果找到则继续,否则跳出。
8、尝试上一匹配目标后匹配BB,如果找到则继续,否则跳出。
9、忽略此字节。
10、尝试上一匹配目标后匹配02,如果找到则继续,否则跳出。
11、在接下来的3个位置(字节)中尝试匹配33,如果找到则继续,否则跳出。
12、尝试上一匹配目标后匹配C9,如果找到则继续,否则跳出。
13、尝试上一匹配目标后匹配8B,如果找到则继续,否则跳出。
14、尝试上一匹配目标后匹配D1,如果找到则继续,否则跳出。
15、尝试上一匹配目标后匹配41,如果找到则继续,否则跳出。
16、尝试上一匹配目标后匹配9Cÿ
最低0.47元/天 解锁文章
扫一扫
784
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
