《黑客免杀攻防学习笔记》——反病毒软件与免杀原理

最新推荐文章于 2023-11-13 10:24:13 发布
最新推荐文章于 2023-11-13 10:24:13 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: 免杀 文章标签: 黑客 病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuyangbotianshi/article/details/17379345
版权
本文介绍了反病毒软件的工作原理,包括文件扫描、内存扫描、行为监控和新兴技术,如云查杀和双引擎查杀。同时,探讨了免杀技术,包括改特征码、花指令和加壳等,以及如何应对基于行为检测的反病毒策略。
摘要由CSDN通过智能技术生成

1.反病毒软件原理与反病毒技术介绍

1.1反病毒软件工作原理

反病毒软件一般由扫描器、病毒库与虚拟机组成,并由主程序将他们整合在一起。扫描器用于查杀病毒,大多数反病毒软件基本都由多个扫描器组成,病毒库存储着特征码,存储形式取决于使用的扫描器,虚拟机相当于沙盒。

1.2基于文件扫描的反病毒技术

可分为“第一代扫描技术”、“第二代扫描技术”和“算法扫描”3种。下面就先简要介绍一下这三种扫描技术(其实书上只有前两种)

1.第一代扫描技术

         第一代扫面技术就是在文件中检索病毒特征序列,有下面两种。

(1)字符串扫描技术

         就是使用从病毒中提取出来的一段特征字符串来检测病毒,原理比较简单。

         (2)通配符扫描技术

         现今的这项技术可以使用正则表达式来进行通配。至于通配的细节就不详细讲了,主要就是利用RE。

         (3)其他扫描技术

         不匹配字节数扫描技术、通用检测法扫描技术、散列扫描技术、书签检测法、首尾扫描检测法、入口点和固定点扫描、文件名扫描等。

         2.第二代扫描技术

         主要是对检测精度进行了改进。

         (1)智能扫描法

         智能扫描法会忽略检测文件中的NOP等无效指令,并且可以过滤掉文件中的格式控制字符,比如空格TAB等。由于在缓冲区中完成这些任务,所以大大提高扫描器的检测能力。

         (2)近似精确识别法

<
最低0.47元/天 解锁文章
Traxer
关注
专栏目录
[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
杨秀璋的专栏
05-20 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了XSS跨站脚本攻击案例,主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。基础性文章,希望对您有所帮助~
AV(反病毒)技术的演进与规律思索观后感
ClearLove的博客
08-09 2618
AV(反病毒)技术的演进与规律思索观后感        首先老师给我们讲述了病毒的表现形式:计算机病毒是人为的编制的一种寄生性的计算机程序。它的危害主要表现为占用系统资源和破坏数据,具有寄生性、传染性、隐蔽性、潜伏性和破坏性。计算机病毒可按良性和恶性分,良性病毒是指只表现自己而不进行破坏的病毒。恶性病毒是指其目的在于人为的破坏计算机的数据、文档或删除硬盘上保存的全部文件。计算机病毒可以按系统型分...
杀毒软件原理
cxu123321的博客
10-12 3635
杀毒软件原理 项目管理的一些事 杀毒软件(Anti-virus Software),也称反病毒软件或防毒软件,是可以用来扫描文件,以确定和消除计算机病毒、特洛伊木马和其他恶意软件的一类软件。杀毒软件一般由扫描器、病毒库与虚拟机组成。 对于一款杀毒软件来说,一次成功的病毒查杀过程,通常都要经历病毒识别、病毒报警、病毒清除、文件或系统复原这几个过程。最关键的是杀毒引擎技术,从广义上来讲,是指通过文件、网页监视等实时监控行为,运用文件识别技术来完成病毒扫描、识别、报警以及清除,甚至防御的一整套的机制,因此引擎
免杀原理
liuhuihlf的专栏
12-10 906
一、 工具 mycll: 特征码 定位 PEID:查壳工具  PEditor: 入口点修改工具 加花  c32asm  ollybg  oc:文件地址到内存地址 的换算  resscope:资源编辑  zeroadd:加区段的  木马 采衣:加花  maskpe,vmprotect:
《AV(反病毒)技术的演进与规律》 挑战与新思路部分学习笔记
黑夜黎明
05-30 441
APT起源   APT起源于2006年左右美国空军对描述信息战以支撑长期战略目标的的复杂的对手的描述, APT初期以邮件投放和0day使用为主。 战略性背景导向  不基于特征的未知威胁检测   恶意代码   0day漏洞利用;shellcode、多种格式文件  背景:2013美国国家国防预算法案932.b   为了克服当前面临的问题和局限性,下一代网络安全系统不应该依赖于:   1·已知特征机制 ...
TideSec远控免杀学习一(免杀基础+msfvenom隐藏的参数)
fa1lr4in的小博客
02-08 2762
参考链接:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg 参考资料 免杀技术有一套:https://anhkgg.com/aanti-virus/ Meterpreter免杀及对抗分析:https://www.freebuf.com/sectool/157122.html 免杀艺术:https://www.4hou.com/technol...
黑客免杀攻防》读书笔记01
Eira_H的博客
03-23 368
1.开始免杀的步骤:目标反病毒软件强度如何? 目标反病毒软件有何弱点? 目标反病毒软件使用了什么独特的反病毒技术? 要怎样才能突破它? 待处理的恶意程序是用什么语言写的? 待处理的恶意程序的二进制代码是否已经被混淆或者加密过了? 待处理的恶意程序的使用人群是否广泛?2. intel的特权级别有四层Ring0:底层,内核层,也是操作系统的底层,只供操作系统使用 Ring3:高级层,也就是
黑客免杀攻防学习笔记》——免杀与特征码
Traxer的学习之路
12-17 1768
以下图片均来自《黑客免杀攻防》若有侵权,请告知,我将最快删除。转载请注明出处。 1.特征码免杀技术          这里主要是用到分割法,就是将一份病毒文件分割成多份让反病毒软件扫描,然后再将扫描出有问题的那份文件再次分割,直到分割到长度适合为止。如下图所示: 若是获得合适的文件之后,再将这份文件进行相应的处理,比如可以添加一些花指令等代码混淆技术。因为许多杀毒软件进行查杀都是
黑客免杀攻防学习笔记》——MFC初探
Traxer的学习之路
12-21 3456
转载请注明出处http://blog.csdn.net/wuyangbotianshi 注:下面文章中谈到的作者都是《黑客免杀攻防》的作者,并不是本文的作者。 由于之前的C++逆向知识比较简单,所以第9章就只记录两个实验,一个就是这个初探MFC实验,另外一个就是探索C++的菱形继承。 1.MFC基础          逆向具有MFC框架的程序并不一定要跟踪MFC框架代码,是否需要这样做取决
红队系列-shellcode AV bypass Evasion免杀合集
最新发布
aming小老弟
11-13 1255
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
软件免杀技术介绍,完善杀毒技术。
11-06
软件免杀技术介绍,完善杀毒技术。 软件免杀技术介绍,完善杀毒技术。
Hash值计算工具图表易换,免杀技术,密码算法,加密工具。
11-11
Hash值计算工具Hash值计算工具,简单易用。计算Hash值的工具。图表易换,免杀技术,密码算法,加密工具。Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具Hash值计算工具。。。
【读书小结】—— 基于虚拟机的启发式扫描反病毒技术
BetaBin
04-13 3165
既然谈得是虚拟机的启发式扫描反病毒技术,那么就该介绍下虚拟机、启发式扫描的概念。 虚拟机(VM),在反病毒界被称为通用解密器。具体做法是:用程序代码虚拟一个CPU来,同样也虚拟CPU的各个寄存器,甚至将硬件端口也虚拟出来,用调试程序调入被调的样本,将每一条语句放到虚拟环境中执行,这样就可以通过内存和寄存器以及端口的变化来了解程序的执行。这样的一个虚拟环境就是一个虚拟机。 虚拟机作为原操作系统下
红队必备技能-免杀
04-02
本套视频教程将通过远控工具介绍、基础原理讲解、免杀工具分析、实战四个模块内容,对免杀技术进行全面剖析讲解! 学完本课程可以免杀市面上%90的杀软,帮助大家对免杀技术有一个清晰的认知,能够掌握常用的免杀工具和进阶思路。
Atitit.木马 病毒 免杀 技术 360免杀 杀毒软件免杀 原理与原则 attilax 总结...
weixin_34130389的博客
03-08 531
Atitit.木马 病毒 免杀 技术 360免杀 杀毒软件免杀 原理与原则 attilax 总结     1. ,免杀技术的用途2 1.1. 病毒木马的编写2 1.2. 软件保护所用的加密产品(比如壳)中,有一些会被杀毒软件误认为是木马或病毒;2 1.3. 一些安全领域中使用的部分安全检测产品,也会被杀毒软件误杀。2 1.4. 远程监控技术一样。2 2. 1.3 免杀的发展史2 3. 免杀技...
学习免杀技术请从下面开始
瞎几把学
08-25 835
 1.基础的汇编语言2.修改工具(不指那些傻瓜式软件)。如:OllyDbg . PEditor. C32ASM . MYCCL复合特征码定位器。UE .OC. 资源编辑器等。还有一些查壳 脱壳软件(如:PEID RL脱壳机等) . 以下是常用的几种免杀方法及工具:一、要使一个木马免杀首先要准备一个不加壳的木马,这点非常重要,否则 免杀操作就不能进行下去。 然后我们要木马的内存免杀
免杀技术-基础知识
weixin_34032827的博客
07-17 156
去年年底的一段时间,工作较清闲,当时对免杀做过一段时间研究。当时用的是hacksky的免杀教程。不敢说对免杀技术已经入门,但是当时做了一些学习笔记学习感悟。hacksky的教程还是很不错的,因为工作的原因,当时没有全部看完,接下来有时间的话会把教程看完。这个大类以后主要记录关于免杀技术方面的文章。文东免杀工具包下载地址http://down.51cto.co...
免杀基础知识总结
w4y2'blog
04-27 1610
最近研究木马免杀,先了解一下基础的免杀知识,看了《杀不死的秘密》、《黑客免杀攻防》等免杀书籍,发现都大同小异,基本内容都是一样的,找特征码,修改特征码....我认为免杀还是要针对杀毒软件的查杀特性来做,所谓知己知彼,用在免杀上就特贴切。能够写在书本上的技术肯定不是最新的技术,反病毒软件肯定也有了应对措施,要想真正做到免杀,还是要通过其它渠道学习或是自己深入研究。但是,曾经的免杀方法并不是无用了,而
黑客免杀攻防技术详解
黑客免杀攻防》这本书是任晓珲撰写的一本关于网络安全和反病毒技术的专业著作,主要聚焦于黑客如何避开反病毒软件检测的技术,即“免杀”技术。书中内容涵盖从基础知识到高级技术的详细讲解,旨在帮助反病毒工程师...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值