上海网站开发毕业生,有了域名如何建立网站,创造与魔法官方网站-做自己喜欢的事,wordpress 地方生活0x01 免杀概念
免杀#xff0c;也就是反病毒与反间谍的对立面#xff0c;英文为Anti-AntiVirus#xff08;简写 Virus AV#xff09;#xff0c;逐字翻译就是反-反病毒#xff0c;翻译为反病毒技术。
0x02 杀毒软件检测方法
1、扫描结束
扫描压缩包技术#xff1a;即…0x01 免杀概念
免杀也就是反病毒与反间谍的对立面英文为Anti-AntiVirus简写 Virus AV逐字翻译就是反-反病毒翻译为反病毒技术。
0x02 杀毒软件检测方法
1、扫描结束
扫描压缩包技术即是对压缩包案和封装文件做分析检查的技术程序窜改技术即是避免恶意程序借由删除杀毒侦测程序而大肆破坏电脑修复技术即是对恶意程序所损坏的文件进行还原急救盘杀毒利用空白U盘制作急救启动盘来检测电脑病毒智能扫描扫描最常用的磁盘系统关键位置耗时较短。全盘扫描扫描电脑全部磁盘耗时较长勒索软件防护保护电脑中的文件不被黑客恶意加密开机扫描当电脑开机时自动进行扫描可以扫描压缩文档和可能不需要的程序
2、监控技术
内存监控当发现内存中存在病毒的时候就会主动报警监控所有进程监控读取到内存中的文件监控读取到内存的网络数据。文件监控当发现写到磁盘上的文件中存在病毒或者是被病毒感染就会主动报警。邮件监控当发现电子邮件的附件存在病毒时进行拦截。网页防护阻止网络攻击和不安全下载。行为防护提醒用户可疑的应用程序行为。
3、扫描引擎
4、特征码扫描 机制将扫描信息与病毒数据库即所谓的“病毒特征库”进行对照如果信息与其中的任何一个病毒特征符合杀毒软件就会判断此文件被病毒感染。杀毒软件在进行查杀的时候会挑选文件内部的一段或者几段代码来作为他识别病毒的方式这种代码就叫做病毒的特征码在病毒样本中抽取特征代码抽取的代码比较特殊不大可能与普通正常程序代码吻合抽取的代码要有适当长度一方面维持特征代码的唯一性另一方面保证病毒扫描时候不要有太大的空间与时间的开销。 特征码类别
文件特征码对付病毒在文件中的存在方式单一文件特征码、复合文件特征码通过多处特征进行判断内存特征码对付病毒在内存中的存在方式单一内存特征码、复合内存特征码 优点速度快配备高性能的扫描引擎准确率相对比较高误杀操作相对较少很少需要用户参与。 缺点采用病毒特征代码法的检测工具面对不断出现的新病毒必须不断更新病毒库的版本否则检测工具便会老化逐渐失去实用价值病毒特征代码法对从未见过的新病毒无法知道其特征代码因而无法去检测新病毒病毒特征码如果没有经过充分的检验可能会出现误报数据误删系统破坏给用户带来麻烦。
5、文件校验和法 对文件进行扫描后可以将正常文件的内容计算其校验和将该校验和写入文件中或写入别的文件中保存在文件使用过程中定期地或每次使用文件前检查文件现在内容算出的校验和与原来保存的校验和是否一致因而可以发现文件是否感染病毒。
6、进程行为检测法沙盒模式 机制通过对病毒多年的观察、研究有一些行为是病毒的共同行为而且比较特殊在正常程序中这些行为比较罕见。当程序运行时监视其进程的各种行为如果发现了病毒行为立即报警。
优缺点
1.优点可发现未知病毒、可相当准确地预报未知的多数病毒
2.缺点可能误报警、不能识别病毒名称、有一定实现难度、需要更多的用户参与判断
7、主动防御技术 主动防御并不需要病毒特征码支持只要杀毒软件能分析并扫描到目标程序的行为并根据预先设定的规则判定是否应该进行清除操作 主动防御本来想领先于病毒让杀毒软件自己变成安全工程师来分析病毒从而达到以不变应万变的境界。但是计算机的智能总是在一系列的规则下诞生而普通用户的技术水平达不到专业分析病毒的水平两者之间的博弈将主动防御推上一个尴尬境地。
8、机器学习识别技术 机器学习识别技术既可以做静态样本的二进制分析又可以运用在沙箱动态行为分析当中是为内容/行为算法模式。伴随着深度学习的急速发展各家厂商也开始尝试运用深度学习技术来识别病毒特征如瀚思科技的基于深度学习的二进制恶意样本检测
0x03 免杀技术介绍
1、修改特征码 免杀的最基本思想就是破坏特征这个特征有可能是特征码有可能是行为特征只要破坏了病毒与木马所固有的特征并保证其原有功能没有改变一次免杀就能完成了。 特征码能识别一个程序是一个病毒的一段不大于64字节的特征串就目前的反病毒技术来讲更改特征码从而达到免杀的效果事实上包含着两种方式。 一种是改特征码这也是免杀的最初方法。例如一个文件在某一个地址内有“灰鸽子上线成功”这么一句话表明它就是木马只要将相应地址内的那句话改成别的就可以了如果是无关痛痒的直接将其删掉也未尝不可。 第二种是针对目前推出的校验和查杀技术提出的免杀思想它的原理虽然仍是特征码但是已经脱离纯粹意义上特征码的概念不过万变不离其宗。其实校验和也是根据病毒文件中与众不同的区块计算出来的如果一个文件某个特定区域的校验和符合病毒库中的特征那么反病毒软件就会报警。所以如果想阻止反病毒软件报警只要对病毒的特定区域进行一定的更改就会使这一区域的校验和改变从而达到欺骗反病毒软件的目的。
修改特征码最重要的是定位特征码但是定位了特征码修改后并不代表程序就能正常运行费时费力由于各个杀软厂商的特征库不同所以一般也只能对一类的杀软起效果。虽然效果不好但有时候在没有源码的情况下可以一用。
2、花指令免杀 花指令其实就是一段毫无意义的指令也可以称之为垃圾指令。花指令是否存在对程序的执行结果没有影响所以它存在的唯一目的就是阻止反汇编程序或对反汇编设置障碍。
大多数反病毒软件是靠特征码来判断文件是否有毒的而为了提高精度现在的特征码都是在一定偏移量限制之内的否则会对反病毒软件的效率产生严重的影响而在黑客们为一个程序添加一段花指令之后程序的部分偏移会受到影响如果反病毒软件不能识别这段花指令那么它检测特征码的偏移量会整体位移一段位置自然也就无法正常检测木马了。
3、加壳免杀 说起软件加壳简单地说软件加壳其实也可以称为软件加密或软件压缩只是加密或压缩的方式与目的不一样罢了。壳就是软件所增加的保护并不会破坏里面的程序结构当我们运行这个加壳的程序时系统首先会运行程序里的壳然后由壳将加密的程序逐步还原到内存中最后运行程序。
当我们运行这个加壳的程序时系统首先会运行程序的“壳”然后由壳将加密的程序逐步还原到内存中最后运行程序。这样一来在我们看来似乎加壳之后的程序并没有什么变化然而它却达到了加密的目的这就是壳的作用。
加壳虽然对于特征码绕过有非常好的效果加密壳基本上可以把特征码全部掩盖但是缺点也非常的明显因为壳自己也有特征。在某些比较流氓的国产杀软的检测方式下主流的壳如VMP, Themida等一旦被检测到加壳直接弹框告诉你这玩意儿有问题虽然很直接但是还是挺有效的。有些情况下有的常见版本的壳会被直接脱掉分析。
面对这种情况可以考虑用一切冷门的加密壳有时间精力的可以基于开源的压缩壳改一些源码效果可能会很不错。
总得来说加壳的方式来免杀还是比较实用的特别是对于不开源的PE文件通过加壳可以绕过很多特征码识别。
4、内存免杀
CPU不可能是为某一款加壳软件而特别设计的因此某个软件被加壳后的可执行代码CPU是读不懂的。这就要求在执行外壳代码时要先将原软件解密并放到内存里然后再通知CPU执行。
因为杀毒软件的内存扫描原理与硬盘上的文件扫描原理都是一样的都是通过特征码比对的只不过为了制造迷惑性大多数反病毒公司的内存扫描与文件扫描采用的不是同一套特征码这就导致了一个病毒木马同时拥有两套特征码必须要将它们全部破坏掉才能躲过反病毒软件的查杀。
因此除了加壳外黑客们对抗反病毒软件的基本思路没变。而对于加壳只要加一个会混淆程序原有代码的“猛”壳其实还是能躲过杀毒软件的查杀的。
5、二次编译 metasploit的msfvenom提供了多种格式的payload和encoder生成的shellcode也为二次加工提供了很大遍历但是也被各大厂商盯得死死的。
而shikata_ga_nai是msf中唯一的评价是excellent的编码器这种多态编码技术使得每次生成的攻击载荷文件是不一样的编码和解码也都是不一样。还可以利用管道进行多重编码进行免杀。
目前msfvenom的encoder特征基本都进入了杀软的漏洞库很难实现单一encoder编码而绕过杀软所以对shellcode进行进一步修改编译成了msf免杀的主流。互联网上有很多借助于C、C#、python等语言对shellcode进行二次编码从而达到免杀的效果。
6、分离免杀 侯亮大神和倾旋大神都分别提到过payload分离免杀和webshell分离免杀采用分离法即将ShellCode和加载器分离。网上各种加载器代码也有很多各种语言实现的都很容易找到虽然看起来比较简单但效果却是不错的。比如侯亮大神提到的shellcode_launcher加载c代码基本没有能查杀的AV。
7、资源免杀 有些杀软会设置有扫描白名单比如之前把程序图标替换为360安全卫士图标就能过360的查杀。
加资源
使用ResHacker对文件进行资源操作找来多个正常软件将它们的资源加入到自己软件如图片版本信息对话框等。
替换资源
使用ResHacker替换无用的资源Version等。
加签名
使用签名伪造工具将正常软件的签名信息加入到自己软件中。
0x04 参考
很多内容参考了wikipedia和freebuf上Green_m和Anhkgg两位大佬的文章在此表示感谢想深入了解的可在访问下面链接。
免杀技术有一套:https://anhkgg.com/aanti-virus/
Meterpreter免杀及对抗分析:https://www.freebuf.com/sectool/157122.html
免杀艺术:https://www.4hou.com/technology/3853.html
