Atitit.木馬 病毒 免殺 技術 360免殺 殺毒軟件免殺 原理與原則 attilax 總結


Atitit.木馬 病毒 免殺 技術 360免殺 殺毒軟件免殺 原理與原則 attilax 總結

 

 

1,免殺技術的用途2

1.1. 病毒木馬的編寫2

1.2. 軟件保護所用的加密產品(比如殼)中,有一些會被殺毒軟件誤認為是木馬或病毒;2

1.3. 一些安全領域中使用的部分安全檢測產品,也會被殺毒軟件誤殺。2

1.4. 遠程監控技術一樣。2

21.3 免殺的發展史2

3免殺技術的簡單原理2

3.1. 現在的免殺主要分為3種,其中的一種便是行為免殺,也就是通過控制病毒木馬的行為來達到躲過殺毒軟件主動防御檢測的目的。3

3.2. 加密解密技術3

3.3. 源碼級免殺則是指通過直接修改源代碼的方式達到免殺目的,它是一種有源工作環境下的技術。3

3.4. 變換api免殺 等價替換法3

3.5. 通用跳轉法4

3.6. 硬件免殺,例如將后門安裝在BIOS或某處固件中,甚至是處理器的微代碼中。4

3.7. Shell4

3.8. 無特征免殺法4

3.9. 增大體積4

 

 

1. ,免殺技術的用途

1.1. 病毒木馬的編寫

1.2. 軟件保護所用的加密產品(比如殼)中,有一些會被殺毒軟件誤認為是木馬或病毒;

1.3. 一些安全領域中使用的部分安全檢測產品,也會被殺毒軟件誤殺。

1.4. 遠程監控技術一樣。

 

作者:: 綽號:老哇的爪子 ( 全名::Attilax Akbar Al Rapanui 阿提拉克斯 阿克巴 阿爾 拉帕努伊 ) 漢字名:艾龍,  EMAIL:1466519819@qq.com

轉載請注明來源: http://blog.csdn.net/attilax

 

2. 1.3 免殺的發展史


  關於世界免殺技術的歷史情況現在並無從考證,但從國內情況來講它的起步可以說是非常晚的。以下是筆者在創作《黑客免殺入門》一書時調查后總結的一份列表,出版后被百度百科引用(但是引用內容在后期被植入了廣告,請各位讀者注意甄別)。
  1989年:第一款殺毒軟件Mcafee誕生,標志着反病毒與反查殺時代的到來。

從國外的發展來看,20世紀80年代就已經出現了使用Rootkit反掃描技術的病毒,不過這屬於一個源碼級應用的例子

 

 

3. 免殺技術的簡單原理


  在筆者最初接觸免殺技術,使用MyCCL定位特征碼的時候就有很多疑問,例如特征碼究竟是什么特征碼是怎么被定位出來的,以及除此之外就沒有其他的了嗎”……
  當然,后來我終於明白了這些看似簡單的問題,並且很高興能在這里分享出來。
  下面我們就先從一句話開始談起,免殺就是定位特征碼這句話相信一些讀者可能聽說過。不過筆者撰寫本書的基本目標之一,就是想讓讀者知道這句話是錯誤的。
  然而,我們不得不承認免殺確實是從特征碼開始的

 

 但是“特征碼”究竟是從哪里來的呢?或者說相關技術人員是依靠什么找到特征碼的呢?我們知道,一個正常的應用程序是不可能包含格式化所有硬盤的指令的,但是假如某個病毒包含這段“個性十足”的指令,那么我們將其對應的二進制碼定位為特征碼簡直是再准確不過了。

 

 

3.1. 現在的免殺主要分為3種,其中的一種便是行為免殺,也就是通過控制病毒木馬的行為來達到躲過殺毒軟件主動防御檢測的目的。

而這種行為免殺所用到的處理技術之一就是通過Anti Rookit來使反病毒程序的Rootkit失效,從而不能有效地監測系統,達到一勞永逸的目的

 

 

 

3.2. 加密解密技術

3.3. 源碼級免殺則是指通過直接修改源代碼的方式達到免殺目的,它是一種有源工作環境下的技術。

 

3.4. 變換api免殺 等價替換法

有些api會被軟件監控,變化api即可免殺

修改方法:把特征碼所對應的匯編指令命令中替換成功能類擬的指令.

2.適用范圍:特征碼中必需有可以替換的匯編指令.比如JE,JNE 換成JMP.

 

針對敏感api的免殺:用動態調用api的方式 替換靜態調用方式,對於敏感api不直接使用windows已經聲明的,要動態調用

3.5. 通用跳轉法

1.修改方法:把特征碼移到零區域(指代碼的空隙處)執行后,使用jmp指令無條件調回原代碼處繼續執行下一條指令

2.適用范圍:通用的改法,建議大家要掌握這種改法

 

 

3.6. 硬件免殺,例如將后門安裝在BIOS或某處固件中,甚至是處理器的微代碼中。

 

3.7. Shell

 

3.8. 無特征免殺法

何為無特征免殺法?就是脫離傳統的定位方法,直接盲免,就對於整體區段進行異或加密,是整體代碼發生變換,從而逃脫殺毒軟件的查殺,是當今最流行的方法。

 

3.9. 增大體積

360后台上傳有一個弊端,中國的網絡基本上都是ADSL,那么上傳的最大理論值是56K,所以一般大文件,他不會上傳,那么我就針對這個問題,在被控端安裝時,對起進行體積增加,這樣,一旦文件大了 他也就不上傳了,這樣就會保證你的免殺持久那么有很多客戶或者內奸,一旦更新了免殺,他直接上傳檢測怎么辦?針對這個問題,我進行了自我增大優化,我遠控的更新全部是在服務器更新,下載免殺時,更新器直接將更新的免殺在主控端進行自我增加,增加很大,那么一般人也就不會上傳殺毒網或者360后台上傳了,因為幾十兆的文件,他上傳要幾個小時,誰願意費這勁呢?是不是。那么這么大的文件,生成的被控端安裝程序比較大怎么辦?其實,我在主控端免殺增加的體積,不是無的放矢的,我可以增加當然可以提取,創建安裝程序時,提取原來的文件,這樣最大可能保證你的免殺持久。

3.10. 免殺捆綁

4. 內存免殺

內存免殺方法
修改內存特征碼:
方法1>直接修改特征碼的十六進制法
方法2>修改字符串大小寫法
方法3>等價替換法
方法4>指令順序調換法
方法5>通用跳轉法
殼入口修改法
1.用到工具:壓縮殼 OD
2.特點:操作簡單 免殺效果好
3.操作步驟:首先給木馬加壓縮殼 然后用OD載入...
在入口處的前15句中.....
NOP掉某些代碼或者等價代換某些代碼(不影響運行的前提下)...
改完之后保存就可以了

5. 360的行為檢測

360實時監視你的電腦,如果你的某個文件操作不符合系統規范時,比如后台安裝服務,插入進程,COPY文件到系統目錄

5.1. 捆綁免殺的思路

(打開自動解壓到系統的temp文件夾里,你也可以填寫其他路徑。)

自動安靜模式

設置解壓后運行程序

更新覆蓋模式

 

 

6. 其他模式

不過有時發送郵件的時候還是會有提醒,360還是會提醒,發送到什么什么郵箱地址!我設想了一遍
如果釣魚軟件不是發送到郵箱,而是首先制作好的釣魚網站,通過檢索在發送到釣魚網站后台,就不會報毒了

7. ref

免殺_百度百科.htm

關於免殺的一點思路 - stma - 博客園.htm

技術貼:用Winrar打造永不被殺的免殺捆綁器!-網賺教程-小無聊博客.htm imp

通用免殺方法集合 ,學免殺可以看看_軟件綜合討論區_軟件區 卡飯論壇 互助分享 大氣謙和!.htm

 《黑客免殺攻防》(任曉琿)【摘要 書評 試讀】京東圖書.htm


注意!

本站转载的文章为个人学习借鉴使用,本站对版权不负任何法律责任。如果侵犯了您的隐私权益,请联系我们删除。



 
粤ICP备14056181号  © 2014-2020 ITdaan.com