免杀原理
1.反病毒軟件原理 構成: 多個掃描器,病毒庫,虛擬機 特征碼:病毒具有的獨一無二的特征字符 虛擬機: 構建運行環境與實際cpu,硬盤隔離
2.掃描技術
1.基于文件掃描 字符串掃描,正則表達式匹配掃描 智能掃描:忽略nop無意義指令,腳本病毒和宏病毒通過替換多余格式字符如空格,換行 多套特征碼和校驗和, hash函數計算 骨架掃描:對腳本和宏病毒,去掉多余字符后分析代碼骨架,提高對變種病毒的檢測能力 ..... 2.基于內存掃描 與實時監控型掃描器協作. 檢測只基于文件免殺的病毒
3.基于行為監控 :配合主動防御和虛擬機,識別程序的行為
4.云查殺 一個用戶查到了病毒,將特征發到服務器,然后整個用戶都能查殺到 .... 還有其他內容
5.多種技術一起查殺
6.神經網絡的啟發式分析
2.免殺原理 基本思想:破話特征碼,包括文件,內存特征, 行為特征 1.文件免殺 字符串修改, 如果特征碼是字符串的話 花指令: 插入垃圾代碼干擾反匯編 加殼 2.內存免殺 內存中有是另外一套特征碼. 建立代碼虛擬機,破壞指令特征 3.行為免殺 內核級病毒 利用系統漏洞,軟件漏洞掩蓋自己的行為 3.特征碼定位 文件分割識別特征碼, 但是如果使用校驗和就不行了 .....................
3.特征碼定位
1.逐塊填充
2.逐塊暴露
?
?
4.免殺思路:
1.加1減1 匯編機器碼相近的
2.空白區域跳轉 基于特征碼的偏移,這里修改了偏移.
3.上下互換 2條不影響執行流程的指令上下交換
4.等值替換 ?2條執行結果等價進行互換
5.修改入口點 .其實和空白區域跳轉類似
6.使用補丁
7.利用花指令
8.利用seh
9.移動pe頭部
10.移動導入表
11.為了避免啟發式掃描,不應添加新的代碼段,而是將原有代碼段增大,然后增加新的內容
.如可疑的區段屬性:代碼段可寫,數據段可執行,一般的程序代碼段只有一個,且數據段屬性為不可執行等
12.多個pe頭部,內嵌pe程序.
?
?
5.源碼免殺
基本思路,通過定位特征碼,然后對比是哪些源碼代碼生成的,通過修改這些代碼使特征消失.
需要干的事:
1.定位行為特征, 定位文件特征
可以修改編譯選項和更換編譯器
寫垃圾代碼(注意防止被優化)
?
轉載于:https://www.cnblogs.com/freesec/p/6235053.html
總結
- 上一篇: Python2.x爬虫入门之URLErr
- 下一篇: mariadb 10.2.3支持延时复制