zoukankan      html  css  js  c++  java
  • 免杀技术

    基础内容


    杀毒软件是如何检测出恶意代码的?

    1.静态分析方法就是在不运行恶意代码的情况下,利用分析工具对恶意代码的静态特征和功能模块进行分析的方法。静态分析工具包括 ollyDump(GigaPede2009)、 W32DASM(URSoftware2009)、IDAPro(DataReseue2009)和HIEw(Suslikov2009)等。利用静态分析方法,可以分析出恶意代码的大致结构,可以确定恶意代码的特征字符串、特征代码段等,还可以得到恶意代码的功能模块和各个功能模块的流程图。静态分析方法是目前最主要的代码分析方法,被广泛应用于恶意代码分析和软件安全测评工作中。
    2.恶意代码和其它正常代码(benignsoftware)一样,本质上来 说也是由计算机指令和非指令的数据构成的,根据分析过程是否考虑构成恶意代码的计算机指令的语义,可以把静态分析方法分成基于代码特征的分析方法和基于代 码语义的分析方法两种类型。
    1)基于代码特征的分析方法
    2)基于代码语义的分析方法
    3.动态分析方法
    动态分析方法通过在可控环境中运行恶意代码,全程监控代码的所有操作,观察其状态和执行流程的变化,获得执行过程中的各种数据。使用最广泛的可控环境就是 “虚拟机” (Virtualizers),此环境和用户的计算机隔离,代码在被监控环境中的操作不会对用户计算机有任何的影响。根据分析过程中是否需要考虑恶意代码 的语义特征,将动态分析方法分为外部观察法和跟踪调试法两种。
    1)外部观察法
    2)跟踪调试法

    免杀是做什么

    使用一些方法使得恶意程序不被杀软和防火墙发现,避免被查杀。

    免杀的基本方法有哪些
    • 方法一:直接修改特征码的十六进制法
      1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.
      2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下能
      否正常使用.
    • 方法二:修改字符串大小写法
      1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.
      2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.
    • 方法三:等价替换法
      1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.
      2.适用范围:特征码中必需有可以替换的汇编指令.比如JN,JNE 换成JMP等.
      如果和我一样对汇编不懂的可以去查查8080汇编手册.
    • 方法四:指令顺序调换法
      1.修改方法:把具有特征码的代码顺序互换一下.
      2.适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行
    • 方法五:通用跳转法
      1.修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.
      2.适用范围:没有什么条件,是通用的改法,强烈建议大家要掌握这种改法.
    文件免杀方法:
    • 加冷门壳
    • 加花指令
    • 改程序入口点
    • 改木马文件特征码的5种常用方法
    • 还有其它的几种免杀修改技巧

    免杀实验


    工具Veil-Evasion


    结果

  • 相关阅读:
    es-07-head插件-ik分词器插件
    es-01-简介
    es-02-elasticsearch安装及遇到的问题
    es-03-DSL的简单使用
    es-04-mapping和setting的建立
    lucene-01-简介
    Scipy---1.常数和特殊函数
    Pandas---12.数据加载和保存
    Pandas---11.移动窗口函数
    Pandas---10.DataFrame绘图
  • 原文地址:https://www.cnblogs.com/q-z-y/p/6958099.html
Copyright © 2011-2022 走看看