病毒免杀技术之特征码免杀

  • A+
所属分类:逆向工程

病毒免杀技术之特征码免杀

本文是 i 春秋论坛作家「zusheng」表哥关于免杀技术分享的技术类文章,感兴趣的小伙伴不可错过哦~


公众号旨在为大家提供更多的学习方法与技能技巧,文章仅供学习参考。


病毒免杀技术之特征码免杀


夯实基础


1、特征码


特征码又称电脑病毒特征码,它主要由反病毒公司制作,一般都是被反病毒软件公司确定为只有该病毒才可能会有的一串二进制字符串,而这字符串通常是文件里对应程式码或汇编指令的地址。


杀毒软件会将这一串二进制字符串用某种方法与目标文件或处理程序作对比,从而判定该文件或进程是否感染病毒。


2、免杀原理


  • 修改入口点.或直接入口点加1


  • 加壳加花伪装


  • 修改特征码


3、MYCCL简介


常用的定位木马病毒特征码的工具有三款,分别是CCL、MultiCCL、MYCCL。


CCL程序出现后,使得特征码修改已经成为了对付杀毒软件的常用手法,但是杀毒软件开始使用多重复合特征码来对付特征码修改,就是说只有你同时改掉程序所有的守护特征码此程序才不被杀。


CCL这样的定位工具无法直接定位出特征码,要定位复合特征码必须手工划分,而MYCCL是CCL的改进版,可以进行多重特征码的定位,针对金山等杀软的反向定位等功能,并实现自动化代码定位和显示。


MyCCL定位原理


假设一段木马程序代码是这样(0代表NULL,X代表程序代码,a、b、c等代表特征码):


001h:XXXXXaXXXbXXXXXXXXXX
002h:XXXXXXXXcXXXXXxXXXXX
003h:XXXXXXXXXaXXXXXXXXXX
004h:XXXXXXXXXbXXXXXXXXXX
005h:XXXXXXXXXXXXcXXXXXXX


当文件同时包含a.b.c三种特征码的时候,杀软就报毒啦。这就是所谓的复合特征码。当然杀软在定义复合特征码的时候可能有好几种组合,好几套特征码。当是复合特征码的时候,在用CCL来定位结果是很困难的。而MyCCL在CCL的基础上又进步了。这里我们手动用MyCCL来生成5个文件。


========File1=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:00000000000000000000
003h:00000000000000000000
004h:00000000000000000000
005h:00000000000000000000
========File2=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:XXXXXXXXcXXXXXxXXXXX
003h:00000000000000000000
004h:00000000000000000000
005h:00000000000000000000
========File3=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:XXXXXXXXcXXXXXxXXXXX
003h:XXXXXXXXXaXXXXXXXXXX
004h:00000000000000000000
005h:00000000000000000000
========File4=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:XXXXXXXXcXXXXXxXXXXX
003h:XXXXXXXXXaXXXXXXXXXX
004h:XXXXXXXXXbXXXXXXXXXX
005h:00000000000000000000
========File5=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:XXXXXXXXcXXXXXxXXXXX
003h:XXXXXXXXXaXXXXXXXXXX
004h:XXXXXXXXXbXXXXXXXXXX
005h:XXXXXXXXXXXXcXXXXXXX
=========================


从File2开始就有了abc特征码的组合,File2到File5就被杀了。被杀以后再用MyCCL进行二次定位,这样我们就知道特征码c的位置了。然后再把002h那行置0,再生成一次。


第二次生成5个文件:


========File1=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:00000000000000000000
003h:00000000000000000000
004h:00000000000000000000
005h:00000000000000000000
========File2=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:00000000000000000000
003h:00000000000000000000
004h:00000000000000000000
005h:00000000000000000000
========File3=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:00000000000000000000
003h:XXXXXXXXXaXXXXXXXXXX
004h:00000000000000000000
005h:00000000000000000000
========File4=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:00000000000000000000
003h:XXXXXXXXXaXXXXXXXXXX
004h:XXXXXXXXXbXXXXXXXXXX
005h:00000000000000000000
========File5=============
001h:XXXXXaXXXbXXXXXXXXXX
002h:00000000000000000000
003h:XXXXXXXXXaXXXXXXXXXX
004h:XXXXXXXXXbXXXXXXXXXX
005h:XXXXXXXXXXXXcXXXXXXX
=========================


因为002h被我们置0了,这里只有File5有abc特征码了,所以File5被杀,这时另一处c也暴露出来了,这样我们就把所有c特征码都定位出来了。MYCCL解决了CCL定位复合特征码的困难。


操作演示


由于演示文档的篇幅比较长,文章排版受限,大家可以在公开课的版块中进行观看学习


i春秋在《免杀技术分享》的公开课中详细介绍了远控工具、免杀工具分析、实战演练分享等内容,大咖讲师亲临指导,不容错过


病毒免杀技术之特征码免杀


感兴趣的小伙伴,识别二维码立即看课

病毒免杀技术之特征码免杀

病毒免杀技术之特征码免杀


PS:Web端看课体验会更佳,看课地址:

https://www.ichunqiu.com/open/68494


课程介绍


本节公开课将通过远控工具介绍、基础原理讲解、免杀工具分析、实战经验分享四个模块内容,对免杀技术进行全面剖析讲解!


学完本课程可以帮助大家对免杀技术有一个清晰的认知,掌握常用的免杀工具和进阶思路。


病毒免杀技术之特征码免杀


讲师简介


主讲人:bigbig


  • 国内大厂安全研究员;


  • 职业红队;


  • 擅长代码审计、隐藏通信隧道技术、权限维持、域内横向移动等后渗透技术;


  • 拥有软件设计技能国家证书、曾任入侵检测产品线负责人。


本节公开课的习时长为58分钟,课程难易程度为初级,新手小白也能看懂,满满的干货,听课1小时,相当于自学1个月,省时高效!


PS:Web端看课体验会更佳,看课地址:

https://www.ichunqiu.com/open/68494


病毒免杀技术之特征码免杀

End


— 往期回顾 —

科普类公开课

▶ 中间人攻击

▶ 十分钟看懂隐写术

▶ 信息泄露问题

▶ 狡猾的漏洞利用

▶ RFID工作原理分析

▶ 披露世界顶级黑客的内心独白

▶ 一分钟看穿网络钓鱼


DC GROUP精品沙龙系列

 VPN设备的矛与盾

 CAN总线安全

▶ Windows 密码攻防

▶ 基于攻击链的威胁,工控安全如何防护

▶ 初窥IoT安全 浅析常规漏洞


病毒免杀技术之特征码免杀


文末下方点个在看


病毒免杀技术之特征码免杀

i春秋官方公众号为大家提供

前沿的网络安全技术

简单易懂的实用工具

紧张刺激的安全竞赛

还有网络安全大讲堂

更多技能等你来解锁

病毒免杀技术之特征码免杀


病毒免杀技术之特征码免杀

本文始发于微信公众号(i春秋):病毒免杀技术之特征码免杀

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: