第115天:免杀对抗-特征码定位&添加花指令&加冷门壳&加反VT保护&资源修改

已于 2023-07-24 19:41:22 修改
阅读量625 收藏 1
点赞数
分类专栏: 免杀对抗 文章标签: 免杀
于 2023-07-22 20:32:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46081990/article/details/131871700
版权

在这里插入图片描述

知识点

#知识点:
1、特征码扫描-花指令&定位修改
2、文件检验法-资源修改&加签名
3、沙盒检测法-冷门壳&代码运行保护

#章节点:
编译代码面-ShellCode-混淆
编译代码面-编辑执行器-编写
编译代码面-分离加载器-编写
程序文件面-特征码定位-修改
程序文件面-加壳花指令-资源
代码加载面-Dll反射劫持-加载
权限逻辑面-杀毒进程干扰-结束
工具数据面-通讯内存流量-动态

对抗目标:
X60 Defender 某绒 管家 VT等

编程语言:
C/C++ Python C# Go Powershell Ruby Java ASM NIM Vlang等。

涉及技术:
ShellCode混淆,无文件落地,分离拆分,白名单,DLL加载,Syscall,加壳加花,
资源修改,特征修改,二次开发CS,内存休眠,进程注入,反沙盒,反调试,CDN解析等

演示案例

1、成品EXE-反特征码-通用跳转&花指令
2、成品EXE-反VT沙盒-加壳加保护加资源

常见查杀方式理论点:
1、特征码扫描(静态):所谓"特征码"其实就是程序内部的一串或者几串二进制机器码。特征码匹配工作原理是先总结出某个病毒的特征码,然后在目标文件中搜索看有没有类似的匹配,如果有匹配就暂定为病毒文件。优点:速度快,配备高性能的扫描引擎;准确率相对比较高,误杀操作相对较少;很少需要用户参与。缺点:采用病毒特征代码法的检测工具,面对不断出现的新病毒,必须不断更新病毒库的版本,否则检测工具便会老化,逐渐失去实用价值;病毒特征代码法对从未见过的新病毒,无法知道其特征代码,因而无法去检测新病毒;病毒特征码如果没有经过充分的检验,可能会出现误报,数据误删,系统破坏,给用户带来麻烦。

2、文件和校验法:将正常文件A的hash值保存,然后如果有一个新的A文件发送过来计算其hash值,如果与正常文件的不同,那么认定为病毒文件。

3、沙盒检测(动态):基于"行为"的检测,看有没有一些敏感的行为来确定文件是否为病毒。优点是可能发现未知的病毒,缺点是误报相对较高,需要用户参与。

4、云查杀:类似于特征码查杀。只是如果特征码库没有匹配值的时候会把文件上传到云端继续分析,有时候扫描病毒刚扫描出来不是病毒,但过一会儿扫描就是病毒了,这种行为就是云查杀。

#成品EXE-反特征码-通用跳转&花指令
1、C/C++-Project4-通用跳转法
特征码区域汇编移动到全0区域后用jmp调用
2、C/C++-Project2-花指令改入口
添加花指令重定向修改入口地址从而打乱特征码位置

#成品EXE-反VT沙盒-加壳加保护加资源
加壳:Py-Pyinstall-UPX Tool等
加资源:Py-Pyinstall-Restorator
加保护:C-Project2-VMProject Shielden等

总结

之前针对的是没有打包成exe的代码做文章,现在是对打包好了的exe做文章

今天针对打包好的exe免杀,介绍了以下几种技术:
1、通用跳转法:
主要思想:通过跳转至其他代码区域执行代码,而不是按照原始代码的顺序线性执行,难以被静态查杀。
利用工具(VirTest)检测特征码的位置,然后将特征码区域汇编移动到全0区域(即空白区),先jmp到移动后的区域,然后再jmp回来继续执行。
2、花指令改入口:
花指令就是一些垃圾汇编指令(无实际操作的指令),可以使结构更加混乱,增加查杀难度,但单纯的花指令效果一般。
利用工具(万花筒-花指令生成器)添加花指令,在前部或其他位置插入大量的花指令,
在花指令区域内,嵌入一个真正的入口点代码,将执行流转移到恶意代码的真实执行入口(一般是较后的代码块)。
3、加壳:
可利用工具(UPX Tool)加壳,主要目的是防止杀软的反调试/反编译。
4、加资源:
比如可以用工具(Restorator)将图标、版本、界面风格等替换成火绒(即其他正常exe)的,但效果一般。
5、加保护:
可以用工具(Shielden)设置代码加密、检测VT虚拟机运行、检测反调试/反编译等

常见杀软的查杀方式总结:(总的来说可以分为静态、动态两种)
1、特征检测:
通过使用病毒特征库,查找文件中已知的病毒、恶意软件特征。这些特征可以是恶意代码的特定指令序列、字符串、哈希值等。
2、文件校验:
将正常文件A的hash值保存,然后如果有一个新的A文件发送过来计算其hash值,如果与正常文件的不同,那么认定为病毒文件。
3、沙盒检测:
基于行为的检测,放到类似于虚拟机的隔离环境中执行,看有没有一些敏感的行为来确定文件是否为病毒。
4、云查杀:
类似于特征检测。上传到云端比对恶意特征,从而判断文件是否是恶意的。可能刚开始没有杀,但过几分钟杀了,这种行为就是云查杀(360就是)

关于"加壳"1、在可执行程序中植入一段代码,运行的时候优先取得程序的控制权,之后再把控制权交还给原始代码,目的是隐藏程序真正的OEP(入口点)。
2、一般的可执行程序可以很轻松的被反编译工具修改,但如果加壳就不是那么容易了,需要先脱壳,动态调试根本就没有进到源程序。
3、加壳一般分为压缩壳和加密壳。压缩壳并不能免杀,只是为了减少体积。
Ch4ser
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
c语言指令,指令的应用
weixin_31036949的博客
05-21 1743
原标题:指令的应用 对免杀的影响是非常大的,有效地利用指令可以使免杀工作事半功倍,甚至单凭指令就可以达到免杀的效果。一、指令免杀领域的应用1、指令的应用技巧在使用之前,首先我们应该明白什么时候比较适合使用,同时还要清楚什么时候不适合。总的来说,应该在无的木马中应用,如果木马已经被,那么我们必须要先脱然后再添加。不管是还是都可以看作是一种密行为,因此一般都是先然后再...
易寒-MYCCL特征定位免杀版)
10-31
免杀必备 易寒-MYCCL特征定位免杀版)
免杀对抗--知识点总结
最新发布
金灰的博客
05-18 1288
文件和校验法。
指令
DavidWang
10-06 1431
 一.指令概念:指令是一堆汇编指令组成,对于程序来说,是一堆废话,指令都不影响程序的正常运行.编写的指令要终始保持堆栈的平衡.二.写指令的原则:写指令的基本原则就是要保持堆栈的平衡. 写指令细细品味下面一段比喻: 我们把一段指令比喻成一道数学运算题,把汇编指令(push pop等)比喻成减乘除,把寄存器或数据(eax,ebx,1等)比喻成数字(1
免杀小结(特征
此去清风白日,自由道风景好
03-28 569
然后在C32里面打开两个文件,一个是马,一个是数字签名提供方,把数字签名复制过来,记住马的数字签名的起始位置,拿到loadPE里面添加一个数字签名区段,OK。其实就是个区段,然后把函数的前几句nop,跳转到0区段,在该区段添加上函数被去掉的指令,再跳到原来语句的下一句。: 特征参还是在指令区,但是我们发现,指令下面存在纯0区,那么,我们把原来的地址用nop填充了,把其它指令扔到纯0区去不就可以了?土办法3(大小写): 在C32中打开,假如特征处是数据区,并且是字母,可以尝试更改大小写。
杀毒与免杀技术具体解释之二:特征定位-工具及原理
weixin_30295091的博客
07-23 607
特征引擎如今依旧十分常见,家家户户都在用。 打开360杀毒,以下显示的4个引擎中,”系统修复引擎、小红伞引擎”都是使用特征进行病毒查杀的,其余的也实用特征进行辅助。可见。如今的杀软中。特征查杀的方法依旧占有不小的位置。 可是,特征引擎有很大的缺陷——easy被逃避。由于一般它仅仅要见着特征就报毒。假设我们把一份病毒分成许多份,就能依据...
linux指令,PE伪装器[指令添加器]
weixin_32549267的博客
05-12 145
作者:Fi7ke这个是修改PE头骗过PEID的小工具。也就是大家通常所说的给程序添加指令。原理非常简单,就是给EXE文件一个PE头,然后写我们的“指令”。如果你读懂过jingtao的“谈Delphi编程中流的应用”那篇文章的话。相信对这段代不会陌生,因为这基本原理是一样的。只是代中有几个数据结构可能是平时极少用到的,都是用来存放PE结构的变量。大家可以参考PE结构方面的资料。(其实看名字...
MYCLL复合定位器(特征免杀√)
11-18
【MYCLL复合定位器】是一款专为学习和实践免杀技术的朋友设计的工具,其主要功能在于特征免杀。在网络安全领域,免杀技术是黑客和安全专家们经常探讨的话题,它指的是通过各种手段使得恶意软件能够避开安全软件的...
特征指令的详细定义与修改添加的方法免杀教程
04-28
免杀教程通常会教授如何在恶意软件中嵌入指令,以混淆反病毒软件的特征检测。这可能包括插入额外的跳转指令,创建虚假的函数入口,或者在关键位置插入无害的代片段,使分析工具误判。此外,指令还可以结合...
MYCCL定位特征 MYCCL定位特征
07-04
综上所述,MYCCL定位特征是反病毒软件中的一种重要工具,而免杀教程则提供了对抗这种检测方法的策略。了解和掌握这些技术,对于网络安全专业人员来说,既能提升对恶意软件的识别能力,也能帮助他们更好地防御和...
rnw-app-builder:基于react-native-web的android&iOS&web应用构建器。 检查https
04-09
特征: 每个注册用户有多个项目 每个项目多个页面(屏幕) 拖放UI元素 能够自定义UI元素并立即查看所有更改 能够在android&iOS&web上预览构建的页面 根据内置的UI屏幕生成react-native-web兼容代 建立逻辑的...
免杀第1课(左爷2010免杀远控定位360特征
07-17
免杀第1课(左爷2010免杀远控定位360特征
ExeShellCode2.rar__ 指令___指令
07-15
用C语言写程序和,完全支持Win7,了一些无意义的指令、也对程序里的函数机器进行
高级免杀异或算法特征
04-06
高级免杀异或算法特征高级免杀异或算法特征
国外冷门免杀程序Pepsi Packer v2
12-04
国外冷门免杀程序Pepsi Packer v2 好用简单的免杀
免杀-指令
08-21
【源免杀-指令】这一主题涉及的是在编程领域中如何通过特定技术来避免恶意软件检测,尤其是针对Delphi编写的程序。免杀(Anti-Virus Evasion)是黑客和安全研究人员关注的一个重要领域,它涉及到如何让恶意代...
木马特征免杀
kingbin的博客
11-18 1879
灰鸽子免杀分析
MSF实战免杀过静态:ShellCode指令
xf555er的博客
03-30 1154
第一部分(api_call)是一个通用API调用函数,用于动态查找和调用API。第二部分(reverse_tcp)创建一个反向TCP连接,将本地机器连接到攻击者的监听器。第三部分(recv)负责接收并执行第二阶段Payload。这三部分共同实现了一段完整的Shellcode,用于反向连接攻击者机器并执行远程指令
特征免杀MYCCL应用实验
xiao_ZHEDA的博客
08-21 290
特征免杀软件mycll的使用
1 & 0 & 0 & -1 \ 0 & 1 & -1 & 0 \ 0 & -1 & 1 & 0 \ -1 & 0 & 0 & 1 \计算本征值、
06-06
我们可以通过计算特征多项式来求解本征值: $$ \begin{aligned} \det(\rho - \lambda I) &= \left|\begin{matrix} 1-\lambda & 0 & 0 & -1 \\ 0 & 1-\lambda & -1 & 0 \\ 0 & -1 & 1-\lambda & 0 \\ -1 & 0 & 0 & 1-\lambda \\ \end{matrix}\right| \\ &= (1-\lambda)\left|\begin{matrix} 1-\lambda & -1 & 0 \\ -1 & 1-\lambda & 0 \\ 0 & 0 & 1-\lambda \\ \end{matrix}\right| - (-1)\left|\begin{matrix} 0 & 0 & -1 \\ 1-\lambda & 1-\lambda & 0 \\ -1 & 0 & 1-\lambda \\ \end{matrix}\right| \\ &= (1-\lambda)[(1-\lambda)^2 - 1] + (-1)[(1-\lambda)^2 - 1] \\ &= (2\lambda-2)(\lambda^2-2\lambda-2) \end{aligned} $$ 解得本征值为 $\lambda_1=0, \lambda_2=0, \lambda_3=1, \lambda_4=3$。其中 $\lambda_3=1$ 对应的本征向量为: $$ |\lambda_3\rangle = \frac{1}{2}(|uu\rangle - |ud\rangle - |du\rangle + |dd\rangle) $$ 因为有一个本征值是 $1$,所以这是一个纠缠态。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值