本文是 i 春秋论坛作家「zusheng」表哥关于免杀技术分享的技术类文章,感兴趣的小伙伴不可错过哦~
公众号旨在为大家提供更多的学习方法与技能技巧,文章仅供学习参考。
夯实基础
1、特征码
特征码又称电脑病毒特征码,它主要由反病毒公司制作,一般都是被反病毒软件公司确定为只有该病毒才可能会有的一串二进制字符串,而这字符串通常是文件里对应程式码或汇编指令的地址。
杀毒软件会将这一串二进制字符串用某种方法与目标文件或处理程序作对比,从而判定该文件或进程是否感染病毒。
2、免杀原理
-
修改入口点.或直接入口点加1
-
加壳加花伪装
-
修改特征码
3、MYCCL简介
常用的定位木马病毒特征码的工具有三款,分别是CCL、MultiCCL、MYCCL。
CCL程序出现后,使得特征码修改已经成为了对付杀毒软件的常用手法,但是杀毒软件开始使用多重复合特征码来对付特征码修改,就是说只有你同时改掉程序所有的守护特征码此程序才不被杀。
CCL这样的定位工具无法直接定位出特征码,要定位复合特征码必须手工划分,而MYCCL是CCL的改进版,可以进行多重特征码的定位,针对金山等杀软的反向定位等功能,并实现自动化代码定位和显示。
MyCCL定位原理
假设一段木马程序代码是这样(0代表NULL,X代表程序代码,a、b、c等代表特征码):
当文件同时包含a.b.c三种特征码的时候,杀软就报毒啦。这就是所谓的复合特征码。当然杀软在定义复合特征码的时候可能有好几种组合,好几套特征码。当是复合特征码的时候,在用CCL来定位结果是很困难的。而MyCCL在CCL的基础上又进步了。这里我们手动用MyCCL来生成5个文件。
从File2开始就有了abc特征码的组合,File2到File5就被杀了。被杀以后再用MyCCL进行二次定位,这样我们就知道特征码c的位置了。然后再把002h那行置0,再生成一次。
第二次生成5个文件:
因为002h被我们置0了,这里只有File5有abc特征码了,所以File5被杀,这时另一处c也暴露出来了,这样我们就把所有c特征码都定位出来了。MYCCL解决了CCL定位复合特征码的困难。
操作演示
由于演示文档的篇幅比较长,文章排版受限,大家可以在公开课的版块中进行观看学习。
i春秋在《免杀技术分享》的公开课中详细介绍了远控工具、免杀工具分析、实战演练分享等内容,大咖讲师亲临指导,不容错过。
感兴趣的小伙伴,识别二维码立即看课
PS:Web端看课体验会更佳,看课地址:
https://www.ichunqiu.com/open/68494
课程介绍
本节公开课将通过远控工具介绍、基础原理讲解、免杀工具分析、实战经验分享四个模块内容,对免杀技术进行全面剖析讲解!
学完本课程可以帮助大家对免杀技术有一个清晰的认知,掌握常用的免杀工具和进阶思路。
讲师简介
主讲人:bigbig
-
国内大厂安全研究员;
-
职业红队;
-
擅长代码审计、隐藏通信隧道技术、权限维持、域内横向移动等后渗透技术;
-
拥有软件设计技能国家证书、曾任入侵检测产品线负责人。
本节公开课的学习时长为58分钟,课程难易程度为初级,新手小白也能看懂,满满的干货,听课1小时,相当于自学1个月,省时高效!
PS:Web端看课体验会更佳,看课地址:
https://www.ichunqiu.com/open/68494
End
— 往期回顾 —
▶ 中间人攻击
▶ 十分钟看懂隐写术
▶ 信息泄露问题
▶ 狡猾的漏洞利用
▶ CAN总线安全
文末下方点个赞和在看哦
i春秋官方公众号为大家提供
前沿的网络安全技术
简单易懂的实用工具
紧张刺激的安全竞赛
还有网络安全大讲堂
更多技能等你来解锁
本文始发于微信公众号(i春秋):病毒免杀技术之特征码免杀
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论