本文详细探讨了杀软如何检测恶意代码,包括特征码检测、启发式检测和行为检测。免杀技术的目的是让恶意软件避开杀毒软件的查杀,方法包括改变特征码和行为。文章介绍了使用msfvenom、veil等工具进行编码和加壳实践,以及C++shellcode编程,展示了如何通过组合技术提高恶意代码的免杀能力。尽管如此,实验结果显示,完全避免杀软检测仍然困难,强调了网络安全的动态性和挑战性。
实验三——免杀原理与实践
20204319王华涛
目录
1.1 杀软是如何检测出恶意代码的?................................................................. 1
1.1.1基于特征码进行检测............................................................................ 1
1.1.2利用启发式恶意软件检测.................................................................... 2
1.1.3基于行为的恶意软件检测.................................................................... 2
1.3 免杀的基本方法有哪些?............................................................................. 2
1.4开启杀软能绝对防止电脑中恶意代码吗?.................................................. 4
3.1正确使用msf编码器,使用msfvenom生成如jar之类的其他文件........ 4
使用编码进入以下目录.................................................................................. 5
3.2.2免杀加壳尝试...................................................................................... 25
3.3使用C + shellcode编程............................................................................ 28
3.4通过组合应用各种技术实现恶意代码免杀................................................ 32
1.1 杀软是如何检测出恶意代码的?
1.1.1基于特征码进行检测
主要是看各类代码的特征,各套杀毒软件的病毒库记录了一些恶意软件的特征码,一段特征码就是一段或多段数据。如果一个可执行文件(或其他运行的库、脚本等)包含这样的数据则被认为是恶意代码。这些特征码一般由一个不大于64字节的字符串组成,且是只有该病毒内才出现的字符串,根据已检测出或网络上公布的病毒,对其提取特征码,记录在病毒库中,检测到程序时将程序与特征码比对即可判断是否是恶意代码。
1.1.2利用启发式恶意软件检测
主要是运用对比和比较的方法,将一个软件与恶意软件的行为、代码等作比对,如果发现相似度达到一定程度,即判定这个程序为恶意代码,有一定误报可能,简单来说,就是根据些片面特征去推断。通常是因为缺乏精确判定依据。
1.1.3基于行为的恶意软件检测
主要是靠追踪监测,对运行的所有进程进行实时监控,如果有敏感行为会被认为是恶意程序,是一种动态的监测与捕捉,一般也是针对特征扫描的而言的,指通用的、多特征的、非精确的扫描,相当于加入了行为监控的启发式。
1.2 免杀是做什么?
免杀就是使得恶意软件不被杀毒软件查杀,二者能够共存。免杀就是让安插的后门不被AV软件发现。让我们的后门在目标机器上不被杀毒软件或者其他的防护软件识别并删除。
1.3 免杀的基本方法有哪些?
最低0.47元/天 解锁文章
扫一扫
5722
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
