静态免杀研究

admin 2024年4月22日02:11:11评论15 views字数 914阅读3分2秒阅读模式

本文介绍的方式,通过修改杀软的特征查杀达到一定程度的免杀。

杀毒软件工作原理

我们想要进行免杀的研究,我们首先就需要进行杀毒软件的分析,杀毒软件将我们木马查杀,有以下几个方面

静态查杀

杀软一般通过比对关键md5进行分析,也有会进行模糊查询,甚至部分md5匹配则判断为木马文件。未加密也会直接通过特定字符进行判断。

内存查杀

病毒或者木马文件运行之后,会还原自身,将自己放置于内存中去运行,同时原本加密的危险字符也会重新出现,很容易被检测出来。

行为查杀

当程序运行一些危险行为的时候,就会进行查杀,比如进行了键盘监控,这个时候杀软就会认为进行这个行为的软件属于木马文件。其实我们可以通过一些普通用户可能做的操作来规避这种查杀,留下合理的后门。

云查杀

将文件进行上传到云沙箱,使用杀毒软件进行分析。

使用virTest特征查找并修改

virTest介绍:

VirTest是一款shellcode定位工具,可以在杀软查杀文件是定位文件特征码。 

使用方式

这里我们下载:

http://static.3001.net/upload/20140812/14078161556897.rar

下载之后我们直接打开工具,点击制作测试文件,这里我以mimikatz为例

静态免杀研究

静态免杀研究

这样会提示

静态免杀研究

然后我们点击载入测试文件,选择上面给我们的地址,vir后缀的文件,就是生成的测试文件了。

静态免杀研究

这里有几点需要记住,在载入之前不要打开杀软,防止被杀掉,制作测试文件之后其实就可以打开了,也需要打开,然后我们点击定位特征代码,这个时候我们有两种选择,一种是打开杀软我们选择自动确定

静态免杀研究

还有一种是选择手动确定,然后去扫描vir目录内的测试文件

静态免杀研究

这里扫描之后会有左下角的框中提示,哪一块被查杀

静态免杀研究

选中,我们找到位置,然后我们可以通过修改工具去修改特征码,有,OD,C32ASM,UE,010Editor等等

我们可以使用查找去找到特征位置,根据前面的行数号码,去找到哪到哪

静态免杀研究

然后这里有一种修改方式,就是通过+1来修改

之前学破解的时候有一个顺口溜,叫“74“变“75“,“84“变“85”,很老的一个段子。

静态免杀研究

静态免杀研究

这样我们逐一修改特征码,最后反复上述步骤,直到达到一个免杀的效果。

原文始发于微信公众号(白安全组):静态免杀研究

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月22日02:11:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   静态免杀研究https://cn-sec.com/archives/2675724.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息