红队笔记之杀软原理介绍与免杀技术总结
杀软的常用杀毒引擎
搞免杀之前呢肯定要对杀毒软件的查杀方法进行了解,了解后才能有效的制定绕过策略,以达到的免杀的目的,因为免杀本就是一个对抗的过程所以任何免杀都有着自己的时效性。下文将分别分析杀软的常用引擎原理,并介绍绕过思路。
杀毒引擎的原理与对抗
病毒查杀引擎
核心原理
此为杀软最基础的功能,主要原理是将文件的特征与病毒库所包含的特征进行匹配。
主要手段
1、文件名称或MD5值是否具备木马特征;
2、程序是否调用了系统危险函数,virtualalloc,rtlmovememory,ntcreatthread等;
3、shellcode的特征码匹配,如通过mov r10d, 0x0726774C判断是否为msf脚本;
- 可以使用myccl+ida详细找一下具体查杀的哪个位置,从而对应性修改。
4、判断文件是否存在有加解密行为,或其他额外的保护措施,如加壳;
对抗思路
1、避免使用可疑名字,投递前稍微修改程序以改变md5值;
2、避免使用危险函数进行系统调用;
3、对于shellcode进行随机性较高的加密,如自己编写加解密算法;
4、将加载器与shellcode进行分离;
5、程序中植入花指令;
文件监控引擎
核心原理
通过驱动向内核注册一系列的文件操作回调,来监控整个系统的文件操作。
主要手段
1、通常由微软提供的minifilter框架实现,一般得监控策略为
- 文件执行时触发;
- 文件执行或修改时触发;
对抗思路
1、因为此处操作的是文件系统可以采用无落地,或者内存马的形式进行绕过
主动防御引擎
核心原理
对于危险api进行监控,当程序运行时有调用这些被监控的api则认为存在危险
- 并非所有应用调用api都会进行监控报毒,其内部有一部分白名单程序
主要手段
1、检查程序是否有修改注册表,防火墙,组策略,添加用户,或调用敏感程序如cmd,powershell ,psexec 等
对抗思路
此种较难较难处理一般采用白加黑(exe(白) —load—> dll(黑))的思路进行绕过
启发式查杀引擎
核心原理
所谓启发式查杀其实是利用病毒程序与正常程序启动或运行时,所做的行为不同来判断是否为病毒程序,多数结合人工智能手段进行判断,一般误判可能性较大;
主要手段
1、将程序放到自己的沙箱中运行,判断是否存在危险行为
对抗思路
1、加载器,payload,密钥分离(若有)为三个文件,或者是两个文件;
- 此⽅法对⽊⻢的使⽤场景要求较⾼,如进行钓鱼容易被识别。
2、程序执行前判断当前程序所处环境,来判断是否继续执行,还是直接return;
- 此处使用白名单(当前运行环境有什么特性则运行,如具有QQ进程),或黑名单的思想进行判断(如判断信息信息中是否包含vmware字样)
- 常见的判断手段还有;进程信息,注册表信息,特征文件信息,外设信息,内存大小,程序执行速度等。
- 较为高端的沙箱可能会根据你的系统调用,给你返回假的信息,此处可以如果绕过可以取调用根本不可能存在的信息判断沙箱
- 我们可以让程序运行时将运行环境的各种信息发送给我们的一个服务端,用以长期的分析沙箱特性作为对抗
云查杀引擎
核心原理
云查杀相对容易理解,即将木马文件上传至云端服务上,由云端服务进行分析;
- 因为需要上传至云端,所以失效性相对较差
主要手段
云端上可能会是沙箱执行,或者机器学习分析,甚至人工分析;
对抗思路
参考启发式查杀对抗思路
常见云查杀平台有:virustotal,微步云沙箱,大圣云沙箱,antiscan
网络监控引擎
核心原理
网络监控引擎主要是通过对于网卡的流量的监控,来识别攻击事件;
主要手段
1、与威胁情报信息结合,判断IP,域名,证书等,是否被标记为高危;
2、监控流量的特征,通过流量特征判断是否高危;
- 时间特征:特别频繁的流量访问会被监控到,如漏扫的扫描。
- 结构特征:是否为已知远控的通信结构。
- 内容特征:对于请求中的数据进行关键字匹配,判断是否存在危险特征的关键字。
对抗思路
1、c2服务器可以短期使用,或定期重置和更新IP域名
- 魔改c2的特征也能有效防止被威胁情报标记为高危,如CS的50050端口,威胁情报平台识别cs特征后会把对应Ip标记为高危
2、对于传输内容进行加密,防止结构与内容匹配
3、使用合法证书
4、扫描使用较慢速度,并更换ip和ua头等信息
红队笔记之杀软原理介绍与免杀技术总结相关推荐
- 红队笔记之渗透测试流程以及各环节技术纲要
相比传统渗透测试,红队则更趋于真实的入侵活动,红队这个词汇最先来源于军方的红蓝对抗活动.每一步入侵操作都有着其特有的战术和技术手段,而这些战术手段在实际过程中都绝不会是完全孤立使用的,需要多个手段相互 ...
- 冲击红队第一天 - Web安全介绍与基础入门
大家好! 我是小黄,很高兴又跟大家见面啦 ! 拒绝水文,从我做起 !!!! 未经允许,禁止转载 ,违者必究!!!! 本实验仅适用于学习和测试 ,严禁违法操作 ! ! ! 今天更新的是: 冲击红队第一天 ...
- 红队笔记之权限维持技术要点总结
在红队⾏动中在⽹络中获得最初的⽴⾜点是⼀项耗时的任务.因此,持久性是红队成功运作的关键,这将使团队能够专注于⽬标,⽽不会失去与指挥和控制服务器的通信.通俗来讲只要⽬标没有发现我们的攻击⾏为,可以⻓久保 ...
- 【黑客免杀攻防】读书笔记1 - 初级免杀基础理论(反病毒软件特征码提取介绍、免杀原理、壳)...
在52pojie发表<xxxx>病毒查杀的帖子后,感谢论坛里的会员GleamJ牛不但指出我文章后所添加服务名字符串作为特征码方式的不足,还分享了他工作中4种提取特征码的方法.让我更加觉得要 ...
- 【黑客免杀攻防】读书笔记6 - PE文件知识在免杀中的应用
0x1 PE文件与免杀思路 基于PE文件结构知识的免杀技术主要用于对抗启发式扫描. 通过修改PE文件中的一些关键点来达到欺骗反病毒软件的目的. 修改区段名 1.1 移动PE文件头位置免杀 工具:PeC ...
- 在一黑客论坛上看见的:360免杀技术介绍
一.ASM汇编 这个是最舒服的,用OD打开已经配置好的马,找0区(也可以用TOPO加空段)要很大一片哦!右击,选择"二进制"→"编辑",在ASCII中输入 &q ...
- Atitit.木马 病毒 免杀 技术 360免杀 杀毒软件免杀 原理与原则 attilax 总结...
Atitit.木马 病毒 免杀 技术 360免杀 杀毒软件免杀 原理与原则 attilax 总结 1. ,免杀技术的用途2 1.1. 病毒木马的编写2 1.2. 软件保护所用的加密产品(比如壳)中,有 ...
- windows opensshd 连接就close_基于Windows白名单执行Payload上线Metasploit 渗透红队笔记...
渗透攻击红队 一个专注于红队攻击的公众号 大家好,这里是 渗透攻击红队 的第 17 篇文章,本公众号会记录一些我学习红队攻击的复现笔记(由浅到深), 不出意外每天一更 基于白名单绕过 测试环境 攻击机 ...
- 红队笔记之邮箱伪造实战
文章目录 技术要点 理由的合理性 不管的危害性 操作的简易性 操作步骤 分析目标 准备软件 准备邮件服务 准备可以搭建smtp服务的服务器 安装smtp服务 配置smtp服务 启动smtp服务 测试s ...
最新文章
- 使用PlanAhead查看Virtex-7系列FPGA的底层架构
- 阿里云Link TEE获得全球首款GlobalPlatform TEE全配置安全认证
- java作业 计算平均分和总成绩
- (Step2-500题)POJ训练计划+SGU
- 大公司病?记改一个文字颜色的过程
- Node.js:Node核心模块
- Android 代码混淆 以及 反编译 的实现
- Excel根据身份证号提取省份
- 模糊:让你的代码远离偷窥之眼
- 三星android智能手机usb驱动程序,三星手机安卓USB驱动Samsung USB Driver for Mobile Phones 1.5.51.0...
- Python——绘制词云图
- flowable设计器自定义自己的人员选择器
- IDEA使用Maven构建Spring+SpringMVC+MyBatis整合项目demo成功执行但控制台Tomcat Locahost log输出No Spring WebApplicationIn
- 白嫖党最爱!撸了郭霖大神写的Framework源码笔记,最强技术实现
- luogu 题解 P1217 【[USACO1.5]回文质数 Prime Palindromes】
- Mac - 通过 Script 实现更换桌面壁纸
- Glove模型的原理与代码
- 如何从照片中提取文字?
- SIGIR 2021 | FSCD-PreRank:面向效率和效果更加均衡的交互式粗排模型
- ANSYS学习2——前处理
热门文章
- 李南江的前端课程(一)浏览器的组成和浏览器请求的过程
- 给UMEditor 增加placeholder
- Flutter 季度调研结果分享 | 聚焦多平台开发者关注的问题
- 那些年我做的移动互联网产品
- 机器学习算法总结(七)——隐马尔科夫模型(前向后向算法、鲍姆-韦尔奇算法、维特比算法)...
- 服务无法在此时接受控制信息
- 计算机课程设计参考文献,近几年课程设计参考文献 课程设计参考文献有哪些...
- mysql制作评论功能_Java+MySQL实现评论功能设计开发
- Mac下MySQL 8.0+忘记密码的重置操作
- 实习的时候拿C++写的游戏《星际夺宝》