《黑客免杀攻防学习笔记》——免杀与特征码

最新推荐文章于 2023-11-13 10:24:13 发布
最新推荐文章于 2023-11-13 10:24:13 发布
阅读量1.7k 收藏 1
点赞数 2
分类专栏: 免杀 文章标签: 病毒 汇编 二进制 杀毒软件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuyangbotianshi/article/details/17379543
版权
本文介绍了黑客免杀技术,特别是针对特征码的处理方法。通过特征码免杀技术、特征码定位原理(包括逐块填充、逐块暴露和混合定位)以及特征码的修改策略(如大小写替换、00字节填充和加减1),阐述了如何规避杀毒软件的检测。此外,还提到了高级的特征码修改技巧,如空白区域跳转法和上下互换,以实现更有效的免杀效果。
摘要由CSDN通过智能技术生成

以下图片均来自《黑客免杀攻防》若有侵权,请告知,我将最快删除。转载请注明出处。


1.特征码免杀技术

         这里主要是用到分割法,就是将一份病毒文件分割成多份让反病毒软件扫描,然后再将扫描出有问题的那份文件再次分割,直到分割到长度适合为止。如下图所示:

若是获得合适的文件之后,再将这份文件进行相应的处理,比如可以添加一些花指令等代码混淆技术。因为许多杀毒软件进行查杀都是直接特征码或是校验和,这样一来就可以躲过查杀。

2.特征码定位原理

2.1特征码逐块填充定位原理

         逐块填充定位法首先出现在CCL软件上,它是一款单一特征定位器。原理很简单,将文件按照一定的字节数定位不同的区块,比如下面例子中的8字节一块,然后分别将第1,2,3,4…个块分别填充为空字节或是其他没用的字节,然后用反病毒软件检测,最终获得特征码位置,如下图所示:

最低0.47元/天 解锁文章
Traxer
关注
专栏目录
[网络安全自学篇] 九十二.《Windows黑客编程技术详解》之病毒启动技术创建进程API、突破SESSION0隔离、内存加载详解(3)
杨秀璋的专栏
07-27 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点。第三篇文章主要介绍木马病毒启动技术,包括创建进程API、突破SESSION0隔离、内存加载详解,希望对您有所帮助。
[网络安全自学篇] 八十八.基于机器学习的恶意代检测技术详解
热门推荐
杨秀璋的专栏
07-19 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了传统的恶意代检测技术,包括恶意代检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。这篇文章将介绍基于机器学习的恶意代检测技术,主要参考郑师兄的视频总结,包括机器学习概述与算法举例、基于机器学习方法的恶意代检测、机器学习算法在工业界的应用。同时,我再结合自己的经验进行扩充,详细分享了基于机器学习的恶意代检测技术,基础性文章,希望对
基于特征病毒免杀的基本原理
weixin_43227642的博客
04-14 2052
基于特征病毒免杀的基本原理 特征查杀原理 什么是特征 特征,就是防毒软件从病毒样本中提取的不超过64字节且能代表病毒特征的十六进制代。主要有单一特征、多重特征和复合特征这三种类型。 特征的提取 特征提取的思路是:首先获取一个病毒程序的长度,根据样本长度可将文件分为若干份(分段的方法在很大程度上避免了采用单一特征误报病毒现象的发生,也可以避免特征过于集中造成的误报)...
特征免杀
luxuheng的专栏
01-10 1907
特征免杀就是修改病毒文件的内容,从而躲过杀毒软件根据特征的查杀。     特征免杀要根据杀毒软件定位到的病毒特征来进行有针对性的修改,如果胡乱修改,有可能造成病毒体遭到破坏,失去原有的作用。     常用的特征修改的方法有(1)16进制差1  (2)大小写切换  (3)相同命令替换  (4)特征移位  (5)通用跳转等。     16进制差1,大小写切换就不说了。相同命令替换就
黑客免杀攻防学习笔记》——小结
Traxer的学习之路
12-24 1463
黑客免杀攻防》看得差不多了,关于诸如花指令等其他免杀技术以及Rootkit的内容没有看。Rootkit另外买了一本书,想着两部分结合在一起看效果可能会好一些。这里就针对自己看过的一些内容做一下总结。          总的来说这本书需要C++、汇编、数据结构、内核等多方面的知识才能理解透彻,而内核方面自己没有接触过,也就暂时一放。书的前面几张分别介绍了包括防病毒软件、免杀基础知识和技术等,没有
特征免杀过360全套,过提示
03-01
引用作者原话: 1、免杀需要学习,教程只有短短几分钟时间,但背后的付出,你们看不到。 2、免杀需要动手,需要自己多去尝试,失败的经验往往比成功的经验更有价值。 3、免杀需要思维,只懂得跟着教程做的,永远也学不会免杀
免杀小结(特征
此去清风白日,自由道风景好
03-28 616
然后在C32里面打开两个文件,一个是马,一个是数字签名提供方,把数字签名复制过来,记住马的数字签名的起始位置,拿到loadPE里面添加一个数字签名区段,OK。其实就是加个区段,然后把函数的前几句nop,跳转到0区段,在该区段添加上函数被去掉的指令,再跳到原来语句的下一句。: 特征参还是在指令区,但是我们发现,指令下面存在纯0区,那么,我们把原来的地址用nop填充了,把其它指令扔到纯0区去不就可以了?土办法3(大小写): 在C32中打开,假如特征处是数据区,并且是字母,可以尝试更改大小写。
黑客免杀攻防学习笔记》——反病毒软件与免杀原理
Traxer的学习之路
12-17 1424
1.反病毒软件原理与反病毒技术介绍 1.1反病毒软件工作原理 反病毒软件一般由扫描器、病毒库与虚拟机组成,并由主程序将他们整合在一起。扫描器用于查杀病毒,大多数反病毒软件基本都由多个扫描器组成,病毒库存储着特征,存储形式取决于使用的扫描器,虚拟机相当于沙盒。 1.2基于文件扫描的反病毒技术 可分为“第一代扫描技术”、“第二代扫描技术”和“算法扫描”3种。下面就先简要介绍一下这三种扫描技术
红队系列-shellcode AV bypass Evasion免杀合集
最新发布
aming小老弟
11-13 1463
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征绕过有非常好的效果,加密壳基本上可以把特征全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
简学-攻击特征搜集
码农米格的博客
03-29 2258
攻击特征分析0x00 特征字符分析0x00.1 SQL 注入0x00.2 常见数据库类型判断0x00.3 恶意文件上传0x00.4 一句话木马(Webshell)0x00.5 命令执行/代执行特征0x00.6 反弹 shell(Windows)0x00.7 Linux0x00.8 反弹 shell(Linux)0x00.9 高危POC攻击特征0x00.10 HTTP请求中高位特征值字段0x00.11 信息泄露类扫描0x00.12 常见各种绕过WAF的姿势0x01 访问频率分析0x01.1 SQL盲注0x0
黑客免杀攻防】读书笔记1 - 初级免杀基础理论(反病毒软件特征提取介绍、免杀原理、壳)...
weixin_30642869的博客
06-14 544
在52pojie发表《xxxx》病毒查杀的帖子后,感谢论坛里的会员GleamJ牛不但指出我文章后所添加服务名字符串作为特征方式的不足,还分享了他工作中4种提取特征的方法。让我更加觉得要加紧时间学习,这样才不会被大牛甩得太远。弄清楚基本概念,以后吹水不致被嫌弃得太惨。嘿嘿! 基础篇 初级免杀技术 第1章 变脸 免杀是一种反杀毒技术。它除了使病毒木马免于被查杀外,还可以扩增病毒木马的功能...
TideSec远控免杀学习一(免杀基础+msfvenom隐藏的参数)
fa1lr4in的小博客
02-08 2803
参考链接:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg 参考资料 免杀技术有一套:https://anhkgg.com/aanti-virus/ Meterpreter免杀及对抗分析:https://www.freebuf.com/sectool/157122.html 免杀艺术:https://www.4hou.com/technol...
程序免杀技术之——特征
人生代码,代码人生。。。
11-19 1万+
特征(attribute code )是能识别一个程序是一个病毒的一段不大于64字节的特征串。为了减少误报率,一般杀毒软件会提取多段特征串,这时,我们往往改一处就可达到 免杀效果,当然有些杀毒软件要同时改几处才能免杀。 目前的核心免杀技术几乎都是围绕着特征的修改,然后辅助之以花指令、压缩加密壳等手段。关于花指令的使用方法,我在上一篇文章中已经讲过了(http://bbs.honker.
复合特征原理和查找
井底之蛙
03-16 1526
杀毒软件的复合特征真是难倒偶们, 但是仔细看还是有规律的下面给几个图, 因为本人艺术细胞原因 所以点到为止---------------------------------------------------------------------------------- 比如这一段为程序-----c--a------b---a----c--d-------b-------------
VC++ 定位特征方法《方法来自 小蓝VC++ 传奇3 逆向三部曲》
zhang1042724370的博客
10-29 1397
VC++ 定位特征方法《方法来自 小蓝VC++ 传奇3 逆向三部曲》 在此感谢小蓝的教程!! //格式化输出字符串信息 CString gameCall::formatString(CString msg,CString addr,CString value) { addr = msg + " " + "地址 ----> 0x" + addr + " "; valu...
<黑客免杀攻防>第三章 免杀特征 阅读笔记
KD的疯狂实验室
10-31 991
该章前部分介绍了一般的寻找的方法,
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值