Atitit.木马 病毒 免杀 技术 360免杀 杀毒软件免杀 原理与原则 attilax 总结
Atitit.木马 病毒 免杀 技术 360免杀 杀毒软件免杀 原理与原则 attilax 总结
1. ,免杀技术的用途2
1.1. 病毒木马的编写2
1.2. 软件保护所用的加密产品(比如壳)中,有一些会被杀毒软件误认为是木马或病毒;2
1.3. 一些安全领域中使用的部分安全检测产品,也会被杀毒软件误杀。2
1.4. 远程监控技术一样。2
2. 1.3 免杀的发展史2
3. 免杀技术的简单原理2
3.1. 现在的免杀主要分为3种,其中的一种便是行为免杀,也就是通过控制病毒木马的行为来达到躲过杀毒软件主动防御检测的目的。3
3.2. 加密解密技术3
3.3. 源码级免杀则是指通过直接修改源代码的方式达到免杀目的,它是一种有源工作环境下的技术。3
3.4. 变换api免杀 等价替换法3
3.5. 通用跳转法4
3.6. 硬件免杀,例如将后门安装在BIOS或某处固件中,甚至是处理器的微代码中。4
3.7. Shell4
3.8. 无特征免杀法4
3.9. 增大体积4
1. ,免杀技术的用途
1.1. 病毒木马的编写
1.2. 软件保护所用的加密产品(比如壳)中,有一些会被杀毒软件误认为是木马或病毒;
1.3. 一些安全领域中使用的部分安全检测产品,也会被杀毒软件误杀。
1.4. 远程监控技术一样。
作者:: 绰号:老哇的爪子 ( 全名::Attilax Akbar Al Rapanui 阿提拉克斯 阿克巴 阿尔 拉帕努伊 ) 汉字名:艾龙, EMAIL:1466519819@qq.com
转载请注明来源: http://blog.csdn.net/attilax
2. 1.3 免杀的发展史
关于世界免杀技术的历史情况现在并无从考证,但从国内情况来讲它的起步可以说是非常晚的。以下是笔者在创作《黑客免杀入门》一书时调查后总结的一份列表,出版后被百度百科引用(但是引用内容在后期被植入了广告,请各位读者注意甄别)。
1989年:第一款杀毒软件Mcafee诞生,标志着反病毒与反查杀时代的到来。
从国外的发展来看,20世纪80年代就已经出现了使用Rootkit反扫描技术的病毒,不过这属于一个源码级应用的例子
3. 免杀技术的简单原理
在笔者最初接触免杀技术,使用MyCCL定位特征码的时候就有很多疑问,例如“特征码究竟是什么”、“特征码是怎么被定位出来的”,以及“除此之外就没有其他的了吗”……
当然,后来我终于明白了这些看似简单的问题,并且很高兴能在这里分享出来。
下面我们就先从一句话开始谈起,“免杀就是定位特征码”这句话相信一些读者可能听说过。不过笔者撰写本书的基本目标之一,就是想让读者知道这句话是错误的。
然而,我们不得不承认免杀确实是从特征码开始的
但是“特征码”究竟是从哪里来的呢?或者说相关技术人员是依靠什么找到特征码的呢?我们知道,一个正常的应用程序是不可能包含格式化所有硬盘的指令的,但是假如某个病毒包含这段“个性十足”的指令,那么我们将其对应的二进制码定位为特征码简直是再准确不过了。
3.1. 现在的免杀主要分为3种,其中的一种便是行为免杀,也就是通过控制病毒木马的行为来达到躲过杀毒软件主动防御检测的目的。
而这种行为免杀所用到的处理技术之一就是通过Anti Rookit来使反病毒程序的Rootkit失效,从而不能有效地监测系统,达到一劳永逸的目的
3.2. 加密解密技术
3.3. 源码级免杀则是指通过直接修改源代码的方式达到免杀目的,它是一种有源工作环境下的技术。
3.4. 变换api免杀 等价替换法
有些api会被软件监控,变化api即可免杀
修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.
2.适用范围:特征码中必需有可以替换的汇编指令.比如JE,JNE 换成JMP等.
针对敏感api的免杀:用动态调用api的方式 替换静态调用方式,对于敏感api不直接使用windows已经声明的,要动态调用
3.5. 通用跳转法
1.修改方法:把特征码移到零区域(指代码的空隙处)执行后,使用jmp指令无条件调回原代码处继续执行下一条指令
2.适用范围:通用的改法,建议大家要掌握这种改法
3.6. 硬件免杀,例如将后门安装在BIOS或某处固件中,甚至是处理器的微代码中。
3.7. Shell
3.8. 无特征免杀法
何为无特征免杀法?就是脱离传统的定位方法,直接盲免,就对于整体区段进行异或加密,是整体代码发生变换,从而逃脱杀毒软件的查杀,是当今最流行的方法。
3.9. 增大体积
360后台上传有一个弊端,中国的网络基本上都是ADSL,那么上传的最大理论值是56K,所以一般大文件,他不会上传,那么我就针对这个问题,在被控端安装时,对起进行体积增加,这样,一旦文件大了 他也就不上传了,这样就会保证你的免杀持久那么有很多客户或者内奸,一旦更新了免杀,他直接上传检测怎么办?针对这个问题,我进行了自我增大优化,我远控的更新全部是在服务器更新,下载免杀时,更新器直接将更新的免杀在主控端进行自我增加,增加很大,那么一般人也就不会上传杀毒网或者360后台上传了,因为几十兆的文件,他上传要几个小时,谁愿意费这劲呢?是不是。那么这么大的文件,生成的被控端安装程序比较大怎么办?其实,我在主控端免杀增加的体积,不是无的放矢的,我可以增加当然可以提取,创建安装程序时,提取原来的文件,这样最大可能保证你的免杀持久。
3.10. 免杀捆绑
4. 内存免杀
内存免杀方法
修改内存特征码:
方法1>直接修改特征码的十六进制法
方法2>修改字符串大小写法
方法3>等价替换法
方法4>指令顺序调换法
方法5>通用跳转法
壳入口修改法
1.用到工具:压缩壳 OD
2.特点:操作简单 免杀效果好
3.操作步骤:首先给木马加压缩壳 然后用OD载入...
在入口处的前15句中.....
NOP掉某些代码或者等价代换某些代码(不影响运行的前提下)...
改完之后保存就可以了
5. 360的行为检测
360实时监视你的电脑,如果你的某个文件操作不符合系统规范时,比如后台安装服务,插入进程,COPY文件到系统目录
5.1. 捆绑免杀的思路
(打开自动解压到系统的temp文件夹里,你也可以填写其他路径。)
自动安静模式
设置解压后运行程序
更新覆盖模式
6. 其他模式
不过有时发送邮件的时候还是会有提醒,360还是会提醒,发送到什么什么邮箱地址!我设想了一遍
如果钓鱼软件不是发送到邮箱,而是首先制作好的钓鱼网站,通过检索在发送到钓鱼网站后台,就不会报毒了
7. ref
免杀_百度百科.htm
关于免杀的一点思路 - stma - 博客园.htm
技术贴:用Winrar打造永不被杀的免杀捆绑器!-网赚教程-小无聊博客.htm (imp
通用免杀方法集合 ,学免杀可以看看_软件综合讨论区_软件区 卡饭论坛 - 互助分享 - 大气谦和!.htm
《黑客免杀攻防》(任晓珲)【摘要 书评 试读】- 京东图书.htm
Atitit.木马 病毒 免杀 技术 360免杀 杀毒软件免杀 原理与原则 attilax 总结相关推荐
- Atitit.木马 病毒 免杀 技术 360免杀 杀毒软件免杀 原理与原则 attilax 总结...
Atitit.木马 病毒 免杀 技术 360免杀 杀毒软件免杀 原理与原则 attilax 总结 1. ,免杀技术的用途2 1.1. 病毒木马的编写2 1.2. 软件保护所用的加密产品(比如壳)中,有 ...
- Atitit.木马病毒自动启动-------------win7计划任务的管理
Atitit.木马病毒自动启动-------------win7计划任务的管理 1. 计划任务的Windows系统中取代AT 的schtasks命令1 2. Win本身的系统计划任务列表1 2.1. ...
- Atitit. 木马病毒的外部class自动加载机制------加载class的方法总结
Atitit. 木马病毒的外部class自动加载机制------加载class的方法总结 Atitit.java load class methods 1. 动态加载jar文件和class文件. 1 ...
- Atitit.木马病毒websql的原理跟个设计
Atitit.木马病毒websql的原理跟个设计 1. Keyword Wsql { var sql="select "+p.txt+" as t,"+p.v+ ...
- 一台电脑中招,整网均被感染---9166.biz / 5y5.us Arp木马病毒专杀360独家发布
原文:http://x.360safe.com/index.php/1/action_viewspace_itemid_27395.html 近日,360安全中心接到大量用户的举报,称全局域网的电脑中 ...
- 在一黑客论坛上看见的:360免杀技术介绍
一.ASM汇编 这个是最舒服的,用OD打开已经配置好的马,找0区(也可以用TOPO加空段)要很大一片哦!右击,选择"二进制"→"编辑",在ASCII中输入 &q ...
- 病毒免杀技术-理论篇
现有的病毒免杀技术主要分为三种,其中一种就是行动免杀,通过控制病毒木马的行为来躲过杀毒软件主动防御检测的目的,而这种行为免杀所用到的处理技术之一就是通过Anti Rookit来使反病毒程序的Rootk ...
- msf之进阶免杀技术,无视360
大家好!我是阿杰,今天我写一篇关于msf免杀技术的文章,如果你喜欢请为我打call,我会一直写下去. 首先我们需要: 说明:python监听虽然可以绕过360,但仅限于安装了python的目标,这是具 ...
- 传奇解决登陆器报毒360秒过百度杀毒 金山 卡吧 远控免杀技术
传奇解决登陆器报毒360秒过百度杀毒 金山 卡吧 远控免杀技术 由于部分语言开发导致 杀软误报 使用本工作室研究得知误报分析代码 一.查壳 PEiD查出壳为PECompact 2.5 Retail - ...
- 网络安全进阶篇之免杀(十四章-9)MSF加密壳免杀过360
文章目录 一. 概念 1.1 360 安全卫士和 360 杀毒 二.前期准备 2.1 下载地址 三.具体过程 3.1 使用MSF生成木马并监听 3.2 免杀过程 3.3 测试 一. 概念 1.1 36 ...
最新文章
- JavaScript正则表达式笔记
- Windows下Unity5x的下载
- eslint git提交不上_Git常用命令及日常问题集锦
- [转]撞车之后,不要傻里傻气的!
- Vue3 高级语法(二)—— 自定义指令、Teleport、Vue插件
- 监督学习 | ID3 决策树原理及Python实现
- 吴恩达深度学习 —— 作业2
- python axes_python matplotlib中axes与axis的区别?
- BUAAOO第二单元总结之电梯问题
- linux使用ftp命令_如何使用Linux FTP命令
- python科学计算库-Scipy,主要讲解优化,方程求解,积分,蒙特卡洛,插值计算
- ISO 3166 2位国别编码
- 容器监控cadvisor
- 湖北联通短信鉴权响应错误码
- 第四战:“合纵”与“连横”(“战国纵横家书”辨别修订版)诸子百家走四方的美好时代
- 【LabVIEW懒人系列教程-小白入门】1.16LabVIEW程序结构之小试身手
- 用java获取本机IP地址
- 计算机科学概论918
- linux的lemon安装示范
- R基础2——数据形式
热门文章
- 一个小型的无线路由器 Linux 系统OpenWRT
- 同步、异步、阻塞和非阻塞的概念
- Galera Cluster:一种新型的高一致性MySQL集群架构
- 【重新发布,代码开源】FPGA设计千兆以太网MAC(1)——通过MDIO接口配置与检测PHY芯片...
- JAVA学习笔记之复用类之重载和重写
- 几个经常用到的字符串的截取(java)
- memcached-session-manager配置
- 传微软PK谷歌 将于2014年推出智能眼镜
- 【原创】MySQL 5.6 MRR 的存储过程完美诠释
- 安装MYSQL出现checking for termcap functions