“黑客”深度学习之“免杀技术原理与实现”
发布时间:2019-03-18 11:14:15 所属栏目:建站 来源:信息安全我来讲你来听
导读:副标题#e# 杀毒和免杀矛与盾的两者,对于黑客来说两者都应该学习,做到知己知彼才能达到真正的王者,今天就以本篇文章给大家分享一下免杀的技术原理与实现过程。 一、 杀软是如何检测出恶意代码的? 1. 检测特征码 人有自己的特征,代码也有自己的特征。杀毒
|
__API:
调用时,不适用1地址,而使用4地址,然后自己函数内部还原跳过几字节的调用。 __API_MY:
(5) 底层api 该方法类似于2和3,杀软拦截API可能更加高层(语义更清楚),那就可以找更底层API进行调用,绕过拦截,比如使用NT函数。 或者通过DeviceIoControl调用驱动功能来完成API功能。 模拟系统调用。 (6) 合理替换调用顺序 有时拦截行为是通过多个API组合来完成的,所以合理替换顺序,绕过杀软拦截策略,也可以绕过改行为拦截。 比如,先创建服务,再将服务对应文件拷贝过去。 (7) 绕过调用源 通过调用其它进行功能来完成API的功能。比较经典的如,通过rundll32.exe来完成dll加载,通过COM来操作文件等等。 小结: 方法大概就总结到这,要更好的完成免杀,需要各种方式进行合理灵活组合变化,或者挖掘更多的方法 四、免杀实例讲解 实验主机:Vmware 虚拟机 操作系统:XP sp3 实验用具:MyCCL 2.1、C32Asm、一份病毒样本(encode.exe)、百度杀毒、360杀毒 实战开始: 第一步将杀毒软件的实时防护关闭,以免一会自动把我们实验的样本杀了,然后点击设置: 第二步用杀软查杀一下病毒样本看看: 确定没问题。 (编辑:西安站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
