当前位置:   article > 正文

免杀基础知识总结_安全免杀需要懂什么

安全免杀需要懂什么
        最近研究木马免杀,先了解一下基础的免杀知识,看了《杀不死的秘密》、《黑客免杀攻防》等免杀书籍,发现都大同小异,基本内容都是一样的,找特征码,修改特征码....我认为免杀还是要针对杀毒软件的查杀特性来做,所谓知己知彼,用在免杀上就特贴切。能够写在书本上的技术肯定不是最新的技术,反病毒软件肯定也有了应对措施,要想真正做到免杀,还是要通过其它渠道学习或是自己深入研究。但是,曾经的免杀方法并不是无用了,而是成为基本的步骤了,所以了解免杀基础知识还是必要的。以下是我的学习总结,以备今后温故之用。

1.免杀的最基本思想就是破坏特征,可能是特征码,可能是行为特征。                               

2.PEID通过进行壳特征码比对来判断被载入文件的加壳信息,防病毒软件亦如此。

3.特征码查杀技术

    两个最基本要素:特征码和该特征码所在的偏移。
    复合特征码查杀
    隐含特征码查杀
    启发式扫描查杀
        NOD32启发式扫描:将危险的函数整理出来,按照病毒的特性排列这些API的顺序,若发现类似的调用API顺序,判为病毒。
        主动防御是一种特殊的API HOOK,它HOOK了一些木马病毒常用的API.卡巴斯基主动防御对函数的监控及环境判断。

特征码定位技术:MyCCL 、MultiCCL定位文件特征码和内存特征码。

4.文件扫描

    1.第一代扫描技术,字符串扫描,通配符扫描等。
    2.第二代扫描技术,智能扫描法,近似精确识别法(多套特征码,校验和),骨架扫描法,精确识别法。

5.脱壳方法:

    1.单步跟踪法。遇到程序往上跳转的时候在回跳的下一句代码上单击并按键盘上的'"F4"键跳过回跳指令。 单步跟踪法也是其它方法中要用到的基本的方法。过UPX.
    2.ESP定律法。OD加载程序后F8走到下一条指令,若ESP发生变化,在命令行中输入hr [esp中的值],F9运行,然后用单步跟踪法。原理:我们可以把壳看成一个子程序,必须要遵循堆栈平衡原理。过NSPACK.
    3.二次断点法。首先在“选项”---“调试设置”----“异常”勾选全部复选框,即忽略所有异常,“alt+M"打开内存窗口,在.rsrc设断点,shift+f9,再在.text下断点,shift+f9,然后单步跟踪法。过ASPACK.
    4.末次异常法。首先在“选项”---“调试设置”----“异常”清除所有复选框,即不忽略任何异常,连续按shift+f9,直到程序运行,记下总次数X,重新加载,按下X-1次shift+f9,在栈窗口中找到se句柄,在该地址处下断点,shift+f9,然后单步跟踪。
    5.SFX自动脱壳法。将OD设置为忽略所有异常;将”调试选项“对话框的SFX选项卡中选择”字节模式跟踪实践入口“并确定;加载程序,会自动停在OEP处。成功后记得吧SFX的设置改回去。过DXPACK
    6.出口标志法。OD加载程序后查找“所有命令”,输入”popad"并查找。逐一尝试跟踪。
    7.使用脱壳工具脱壳。

6.常用免杀方法:

    1.利用加多花指令。利用软件zeroadd加一个全0区段,在里边加入花指令,最后一条指令jmp OEP,然后更改程序入口点为该区段的偏移地址。
    2.利用壳前加花指令。原理同前。
    3.利用FreeRes实现加多壳免杀。一般先给木马加上一层加密壳,然后用FreeRes这个工具进行释放,就可以被另一个壳进行二次处理了。
    4.利用修改壳头实现免杀。利用等效代码实现对木马壳头的修改。如jmp xxxx换成call xxxx 或用ja xxx   jnb xxx  jb xxx替换,add ebx,ebp 换成 adc ebx,ebp.
    5.利用去头加花的方法实现免杀。在文件中找到一段0空间或插入0区段,将程序入口点改为该处地址,在该地址处写上花指令后再加上原入口处的n条指令,然后jmp 到n+1条指令处。
    6.利用SEH技术给木马加花。生成0区段,写入 
        push OEP 
        MOV EAX DWORD PTR FS:[0]
        push eax
        mov dword ptr fs:[0],esp
        mov ebx,0
        div ebx
    7.利用reloc改壳免杀。
    8.利用LoadPE重建PE实现免杀。
    9.利用添加PE数字签名实现免杀

7.从PE结构入手的免杀:

    1.加壳免杀
        按免杀效果分:
            1.文件免杀壳,多为加密壳。
            2.内存免杀壳,多为加密壳,往往利用某特定杀软的杀毒引擎缺陷。
            3.行为免杀壳,针对某些行为检测工具。
    2.加花免杀
    3.修改特征码免杀    

8.特征码修改技术

    1.等值替换。2.修改ASCLL特征码大小写,windows对文件扩展名大小写不敏感,但对API函数大小写敏感,需要区别对待。
    3.移除无用ASCII特征码。4.移动ASCII特征码位置。程序都是将字符串首字节的地址压入栈中利用的。改变ASCII特征码在文件中的位置,然后在源码中修改引用地址为新地址。  5.颠倒无依赖关系的指令从而改变特征码。6.利用跳转法修改特征码。
    7.移动输入表函数特征码。杀软常把内存特征码定位在输入表函数上。输入表特征码分两种:1.位于输入表函数上的特征码2.位于输入表函数所在的DLL文件。 
    8.加\x90免杀输入表文件名。9.移动输出表函数特征码。输出表特征码分两类:1.输出表函数名特征码。2.输出表动态链接库文件名特征码。
    10.利用异或算法加密特征码。
    11.特征码交换,新入口点设置" mov 特征码内存地址 ,X",然后"jmp 原入口点,将特征码用其它字符替换。

9.RootKit

    最关键的思路:通过勾住特定的系统函数,从而改变系统函数执行路径的目的,以使其在做关键操作时被我们提供的函数拦截并过滤。
    本质:就是各种钩子的应用。

10.免杀技术的发展趋势

    免杀技术从2008年以后就已经脱离了修改特征码与修改PE文件的阶段,进而发展内核层对抗,在内核层被大部分反病毒软件掌控后,主要战场有转移到用户层。随着云查杀和白名单技术相结合,病毒防护效果得到巨大提示,免杀技术已经与信息安全领域内其他技术有了较大的结合。免杀技术将会持续着向两方面发展:1.基于本地溢出漏洞的技术方向。2.基于用户对抗 的技巧方向。
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/笔触狂放9/article/detail/705335
推荐阅读
相关标签
  

闽ICP备14008679号