基于特征码的病毒免杀的基本原理

最新推荐文章于 2024-05-14 08:54:41 发布
最新推荐文章于 2024-05-14 08:54:41 发布
阅读量1.9k 收藏 2
点赞数
文章标签: 安全 网络 360
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43227642/article/details/105519280
版权
本文介绍了基于特征码的病毒查杀原理,包括特征码的定义、提取方法以及病毒查杀过程。同时,探讨了病毒免杀的基本思想,如修改特征码的几种策略,以逃避杀毒软件的检测。最后,通过实例展示了如何利用花指令改变病毒特征码以实现免杀。
摘要由CSDN通过智能技术生成

基于特征码的病毒免杀的基本原理

特征码查杀原理

  • 什么是特征码

特征码,就是防毒软件从病毒样本中提取的不超过64字节且能代表病毒特征的十六进制代码。主要有单一特征码、多重特征码和复合特征码这三种类型。

  • 特征码的提取

特征码提取的思路是:首先获取一个病毒程序的长度,根据样本长度可将文件分为若干份(分段的方法在很大程度上避免了采用单一特征码误报病毒现象的发生,也可以避免特征码过于集中造成的误报),每份选取16B或32B的特征串,若该信息是通用信息或者全零字节则舍弃,认为或随机调整偏移最后重新选取。最后,将选取出来的几段特征码及它们的偏移量存入病毒库,标示出病毒的名称即可。根据这个思路可编写出特征码提取程序实现自动提取,并保存病毒记录。

  • 病毒查杀

在扫描病毒时,杀毒软件将目标文件通过模式匹配算法与病毒库中的特征码进行比对,以确定是否染毒。

  • 简要总结

在杀毒软件的病毒库里存储了大量病毒的特征码,在扫描病毒时,杀毒软件将目标文件通过模式匹配算法与病毒库中的特征码进行比对,若匹配,则进行查杀。

基于特征码的病毒免杀的基本原理

免杀的基本思想就是破坏特征码。即只要对定位后的特征码进行修改便能逃过查杀。

修改特征码的方法主要有:修改字符串大小写法、等价替换法、指令顺序调换法、通用跳转法。

许多病毒采用自动变形技术来逃避特征码检测,即所谓的多动态病毒,它在外观形态上没有固定的特征码川。病毒的多态致使对其代码段的加密能完全改变原有特征码,因此摇在零区域加入解密代码来解密,然后使用JMP指令跳回原指令代码

最低0.47元/天 解锁文章
三个山
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
特征的使用办法_商家收款VS个人收款!个人和商家有什么区别?为什么现在商家多采用商家?...
weixin_39752352的博客
11-27 379
扫码支付时代初期,商家多采用个人收款收款;而现在,商家普遍采用商家收款。那么个人收款 个人收款多使用于日交易流水小的小微商家。这些商家对于pos机的需求较低,自行打印个人收款即可满足他们的日常需求。使用个人收款具有以下三点局限性:局限01 微信只能扫微信的,支付宝只能扫支付宝的;02 只能消费者自动去扫商家的收款(主扫);03 每日收款有金额上的限制。同时,使用个人收款,也...
病毒特征定位原理和首次使用MyCCL
bcbobo21cn的专栏
09-02 8434
一 什么是病毒特征 特征就是从病毒体内不同位置提取的一系列字节,杀毒软件就是通过这些字节及位置信息来检验某个文件是否病毒。每个杀毒软件公司都有自己的特征提取方法和提取工具,这也是特别需要技术的地方,弄不好就造成误判,将好文件当成病毒给杀了。杀毒软件公司在提取特征后,一般都需要经过较严格的测试和比对,当然也有时间紧迫,来不及充分测试就匆匆升级病毒库(也就是特征库)的情况,前不久的
如何进行免杀
最新发布
hakksjss的博客
05-14 704
0x03 免杀思路总结环境准备:火绒(静态)、360、windowsdef(动态) 免杀的最基本思路就是去除其特征,这个特征有可能是特征,也有可能是行为特征,只要在不修改其 原有功能的情况下,破坏了病毒与木马所固有的特征,一次免杀就能完成。文件免杀
减少文件特征的一些方法与技巧
immortal_mcl的专栏
09-10 1390
我们最开始拿到一个木马和远程控制的生成服务端来说吧,没有经过处理的特征可定是很多的,但经过我们处理的话特征就变少了,处理分为简单处理,和非简单处理,简单处理的有,替换下版权和图标,修改下资源名,加壳脱壳中建输入表,这个貌似对360有点用处,,加壳加花,或在PE 128字节出把00修改为90,这个方法对金山有点用处,,江民加壳加花也是起一定的用处的 或添加数字签名等。。。。这些都是一些简单的
特征特征的概念、特征的作用、常见的特征
LizimU_0911的博客
11-15 8289
1. 什么是特征特征(attribute code):是用来判断某段数据属于哪个计算机字段。 2. 特征有什么作用? 在扫描病毒时,防毒软件将目标文件通过模式匹配算法与病毒库中的特征进行比对,以确定是否染病毒 3. 为什么要定位特征? 因为伴随程序重新编译,基址偏移量等会发生改变,导致之前查找到的内存地址的偏移量失效 ,我们可以根据定位特征,定位所有需要的基址。 4. 常见文件格式在系统中的特征 JPEG: 0xFFD8FF
外挂开发单机游戏内存挂,一段话弄懂什么是特征
m0_60871945的博客
02-29 782
该变量一开始不好定位地址,第一次使用改善数值缩小范围找到后跳转到该地址复制附近地址的数值过去,第二次执行同样的操作,对比两次数值都一样的变量就留下,以后以这堆数据作联合搜索加快筛选,虽然真正要修改的变量有很多其他数值一样的变量来干扰,但因为附近数值的限定结果变得几乎唯一。
特征免杀
luxuheng的专栏
01-10 1875
特征免杀就是修改病毒文件的内容,从而躲过杀毒软件根据特征的查杀。     特征免杀要根据杀毒软件定位到的病毒特征来进行有针对性的修改,如果胡乱修改,有可能造成病毒体遭到破坏,失去原有的作用。     常用的特征修改的方法有(1)16进制差1  (2)大小写切换  (3)相同命令替换  (4)特征移位  (5)通用跳转等。     16进制差1,大小写切换就不说了。相同命令替换就
易语言扫描病毒特征.zip易语言项目例子源下载
03-24
这个名为"易语言扫描病毒特征.zip"的压缩包文件包含了一个易语言项目,目的是教授如何使用易语言来编写病毒扫描程序,并提取病毒特征。这是一项重要的信息安全技术,用于识别和防范恶意软件特征码是病毒...
基于qt的特征的杀毒软件
07-06
综上所述,这个基于Qt的特征杀毒软件项目将涵盖GUI设计、事件处理、文件扫描以及基本的反病毒技术。对于学习者来说,这是一个很好的机会去实践C++编程、了解Qt框架,同时接触到信息安全领域的基础知识。在完成这个...
免杀工具MyCCL特征定位器V2.1
03-12
4. **免杀操作**:用户可以基于这些信息,对原始文件进行修改,例如替换或删除特征,或者插入混淆代,以避免被反病毒软件识别。 5. **反动态分析**:MyCCL还可能包含一些反动态分析的策略,如防止调试器的检测...
黑防免杀教程——特征修改
07-16
在IT安全领域,特征修改是一项重要的技术,主要用于绕过反病毒软件的检测,从而实现恶意软件的“免杀”效果。本教程“黑防免杀教程——特征修改”聚焦于这一主题,旨在帮助读者理解和掌握如何通过改变代特征来...
最实用特征修改方法
01-17
最实用特征修改方法txt文档 解压后便可观看。。。。。。。。
特征免杀360全套,过提示
03-01
引用作者原话: 1、免杀需要学习,教程只有短短几分钟时间,但背后的付出,你们看不到。 2、免杀需要动手,需要自己多去尝试,失败的经验往往比成功的经验更有价值。 3、免杀需要思维,只懂得跟着教程做的,永远也学不会免杀
修改特征免杀技术总结
12-30
特征主要又分为:文件特征,内存特征,行为特征,(主动特征,如瑞星) B. 同时,又分为:单一特征和复合特征; 单一特征就是说,一个程序中的几句代被杀毒软件做为识别标志。修改掉一处就可以免杀。 复合特征:一个程序中的多句代被杀毒软件作为识别标志。
特征免杀webshell
05-04
特征免杀webshell免杀性能好。稳定性强这个是非常好的一份开源代
基于特征病毒查询程序
05-11
在IT安全领域,基于特征病毒查询程序是一种常见的反病毒技术。这种程序的主要工作原理是利用预先构建的特征数据库来识别潜在的恶意软件。本文将深入探讨这个主题,包括PE(Portable Executable)文件结构、API...
技术分享——反病毒技术介绍与发展
sangfor_edu的博客
05-12 915
简单来说,就是通过EDR安全日志、NDR安全日志以及如边界安全防火墙等安全设备日志进行综合的安全问题分析和识别,持续的检测和评估,并提供有效的监测预警,达到安全防护的效果,避免无效安全日志的轰炸。很多时候,这些字符串是某个病毒所特有的,因此这种方式适用于所有病毒特征的提取。在进行可疑病毒文件分析的时候,病毒库的使用需要先加载到内存中,随着病毒的种类越来越多,病毒库也会越来越大,终端本地的庞大的病毒库导致了系统运行越来越慢,虽然解决了终端安全问题,但是带来了其他的可用性问题,这就违背了扫描引擎的初衷。
特征免杀MYCCL应用实验
xiao_ZHEDA的博客
08-21 293
特征免杀软件mycll的使用
构建属于自己的恶意软件特征
weixin_30297281的博客
10-19 837
引自http://blog.sina.com.cn/s/blog_e8e60bc00102vjz9.html 感谢阿里云安全 的分享 0x00简介 最近研究了一些开源的杀毒引擎,总结了一下利用ClamAV(www.clamav.net)来打造属于自己的恶意软件分析特征库。特征库主要包括HASH匹配、文件内容特征库、逻辑特征库、二进制特征(SHELLCODE)、ASCII特...
c语言实现病毒检测代
04-22
好的,针对您的问题,我可以给您提供...需要注意的是,这只是一个简单的病毒检测例子,实际上对于更复杂的病毒来说,病毒特征可能非常复杂,原理和实现方法也可能会有所不同。 希望以上代和解释可以对您有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值