免杀类型概况

admin 2023年1月11日13:17:18程序逆向评论14 views965字阅读3分13秒阅读模式

本文我们简单的聊一聊常用的免杀手段都有哪些。以及每种免杀方式的优缺点。

特征修改

杀毒软件会记录每个恶意程序的特征码。在查杀病毒时,如果特征码和数据库中的匹配。哪么他就是病毒程序了。(这也是大数据时代云查杀的原理)因此,我们需要消除其特征码。这个主要从两个方面入手,一方面是shellcode硬编码字符串。我们需要消除这些特征,另一个是加载器的关联特征也需要消除。

花指令免杀

花指令其实就是一段毫无意义的指令,也可以称之为垃圾指令。花指令是否存在对程序的执行结果没有影响,所以它存在的唯一目的就是阻止反汇编程序,或对反汇编设置障碍。就好像給恶意程序穿了好几件新衣裳,杀毒软件不认识了。

免杀类型概况

加壳免杀

简单地说,软件加壳其实也可以称为软件加密。壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征。

内存免杀

将恶意程序直接加载进内存,避免文件落地,可以绕过文件扫描。但是针对内存的扫描还需对shellcode特征做隐藏处理。对windows来说,新下载的文件和从外部来的文件,都会被windows打上标记,会被优先重点扫描。而无文件落地可以规避这一策略。

分离免杀

整个shellcode加载器分为两个部分,分离下载shellcode和执行。通常杀软只检测一个进程的行为,所以如果存在两个恶意进程通过进程间通信就能逃过检测、达到免杀。分离免杀的方法多种多样,既可以用windows的管道,也可以用socket通信,这样就可以做到shellcode不落地。

二次编译免杀

msf或者cs的shellcode在各个厂商里都盯的比较严,对于这些shellcode已经提取好特征只要使用就会被检测出。所以会使用各种编码器进行免杀。编码器有很多种,这里仅推荐msf的shikata_ga_nai,是一种多态编码器,每次生成的payload都不一样。

资源修改

杀软在检测程序的时候会对诸如文件的描述、版本号、创建日期作为特征检测,可用restorator对目标修改资源文件。比如:加资源、替换资源、加签名等等

更多精彩文章 欢迎关注我们


原文始发于微信公众号(kali黑客笔记):免杀类型概况

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月11日13:17:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  免杀类型概况 http://cn-sec.com/archives/1512247.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: