首页 > 其他分享 >【网络安全】简单的免杀方法(非常详细)零基础入门到精通,收藏这一篇就够了_免杀 最难

【网络安全】简单的免杀方法(非常详细)零基础入门到精通,收藏这一篇就够了_免杀 最难

时间:2024-07-04 12:00:41浏览次数:18  
标签:网络安全 免杀 特征 查杀 就够 源码 启发式 输入

在这里插入图片描述

一、免杀的概念

什么是免杀?免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti -AntiVirus(简写Virus AV),逐字翻译为“ 反-反病毒”,翻译为“反杀毒技术”。通俗点讲,也就是一个被杀软报毒的PE文 件,经过一系列处理后,使杀软不认为他 是一个病毒或木马。

那么,啥是PE文件,PE文件指的是windo ws操作系统上的程序文件,常见的有exe,dll,sys,com的后缀的文件,PE文件都有PE头 和MZ标识。

还有就是现在的三种主流免杀方式啊,分别是特征码免杀,非特征码免杀和源码免杀。

现在特征码免杀是在逐渐衰退,因为现在 的杀软主要倾向了HIPS(主动防御)以及启发式扫描, 特征码修改和定位是越来越难了。(个人认为特征码定位会很蛋疼。。。)那么无特征码免杀更是难上加难,其实就是盲免。目前只有少数牛人在玩了源码免杀,一个当今非常好的免杀方法。啥?360你盯上我的心API了?我动态调用啥?小红伞你盯上我代码了?,我源码无破损修改。啥?NOD32干扰太强你定位不出?直接用C32先找出大致范围,如输入表,代码段等等,我再在源码改 (意思就是源码免杀基本能解决所以免杀难题 )。

二、免杀系统搭建

做免杀如果我们做一款远控的免杀,咱们做好了之后是需要进行测试的,那一些对系统有害的需要测试咋办呢,那就得用到虚拟机或影子系统ps:由于这些都是基本的一些工具,我也就不再多讲。

当然,做免杀是需要一个免杀工具包的,小七免杀工具包精简版2.0就很不错,里面的东西都是干净的,但是原始下载地址栏找不到,百度上有很多,由于安全性未知,我就不发链接了,但他大小应该是在350mb左右。

三、免杀工具介绍

小七免杀工具包里有很多的工具我就列出其中的一些常用的排名不分前后

1、myccl

Myccl作为05出品的一款定位工具,到现在还是独领风骚,实用性五星,稳定性五星。

2、C32asm

一款非常好的静态反汇编工具一般人免杀定位出特征码后都会先到C32里面去改,如果不行就载入od。当然,源码免杀就直接看定位出的东西在源码所对应的代码修改就ok。

3、OD

作为一款神器,OD有很多作用,破解,免杀啊,都需要它,做免杀不必要学汇编,通读几遍80×86就差不多了

4、LordPE

LordPE,是一款功能强大的PE文件分析、修改、脱壳软件。LordPE是查看PE格式文件信息的首选工具,并且可以修改相关信息。我没有用LPE脱过壳,LPE比较常用的功能就是修改地址,查看区段以及区段入口地址,查看和修改输入表以及计算位置,重建PE功能有时会用到

5、ImportREC

一款傻瓜式的输入表重建工具,用于做预处理效果很好的

6、VC++6.0/visual studio

不解释

7、数字签名

作用就是给软件加上一个数字签名,对启发式和主动有一定效果

四、关于杀软排名不分前后
1、360。

360作为中国杀软上的后期之秀,占中国杀软很大部分的市场,当时09,10年的360是非常弱的,定位根本无干扰,但现在的360查杀能力不在话中,但误报率过高,现在5引擎,小红伞,BD,QVM其中BD,木伞都是可以定位的,但QVM是一个伪启发,但是QVM07可以用定位,一般QVM都是杀输入表,杀壳,入口点,资源这些。

HEUR/Malware.QVM06.Gen 一般情况下加数字签名可过
HEUR/Malware.QVM07.Gen 一般情况下换资源
HEUR/Malware.QVM13.Gen 加壳了
HEUR/Malware.QVM19.Gen 杀壳 (lzz221089提供 )
HEUR/Malware.QVM20.Gen 改变了入口点
HEUR/Malware.QVM27.Gen 输入表
HEUR/Malware.QVM18.Gen 加花
HEUR/Malware.QVM05.Gen 加资源,改入口点

QVM07加资源一般加到2M会报QVM06
再加数字签名,然后再慢慢减资源,这个方法对大部分木马有效果。
QVM06 加数字签名
QVM12杀壳
QVM13杀壳
QVM27杀输入表
QVM19 加aspack
QVM20就加大体积/加aspack压缩

2、金山毒霸

金山走的是云安全,云防护,云鉴定这些云安全路线,所以,断了网后金山就是个废,原来有大牛这样写过马的,先运行时断开网络,然后释放出马,再运行,运行成功后就连接网络,这样是可以使免杀效果更好一些。现在在天朝大部分的人都用的360和金山

3、江民

江民定位就OK,主要是对特征码字符串和资源进行查杀(具体方法已经记录到私密博客)。

4、瑞星

瑞星曾经是很霸气的,现在低调了许多,主要是主动防御拦截(具体方法已经记录到私密博客)

5、安天防线

安天防线作为一款不是杀软的杀软,现在是纯特征码扫描。

6、卡巴斯基

非常变态的一款杀软,误报低,查杀率高,特征码+输入表变态查杀+静动态启发式+强力的虚拟机脱壳技术。人类已经无法阻止卡巴斯基的输入表查杀了,在反汇编下,你无论对输入表怎么重建,移位都不行,需要进行手动异或加密。

7、NOD32

我个人认为的最好的杀软,NOD32主要盯的是资源和输入表,他的启发式是相当不赖的,而且NOD32抗定位干扰非常强,一般是定位的不出特征码了,需要手工一段一段的找特征码大致所在区域,再修改,这样是非常耗时的,而且一上报,就完蛋。所以一般的不会做NOD32的免杀

8、诺顿

诺顿不是NOD32,诺顿的主动防御貌似的是很牛B,但表面查杀一般(具体方法已经记录到私密博客)。

9、小红伞,木伞

小红伞的特征码定位抗干扰技术比较好。还有小红伞的启发式也比较不错(具体方法已经记录到私密博客)。

10、BD

比特焚德,以全球最大的病毒库著名,HIPS+特征码+虚拟机+高启发,还是不错的

五、杀软的查杀方法
1、最基础的查杀

特征码查杀你说杀软要认为这个东西是个木马得有个判断条件吧,总不可能随便给你杀了。特征码就是最基础的查杀方式。特征码是什么?特征码就是病毒分析狮从病毒中提取的不大众化的不大于64字节的特征串。通过判断是否有这个特征字符串从而确定是否为病毒。通常为了减少误报,一个病毒会取数个特征码。

2.1、静态启发式

静态启发式即对整个软件进行分析。首先,杀软会规定规则,这个问题规则就是法律一样的,如果静态启发式分析出了杀软中的规定的法律,那么他的怀疑等级就会提高,跟起诉一个犯罪嫌疑人的证据一样,证据越多,那个人的可疑性就越高,到一定程度,就成了做坏事的人

2.2、动态启发式

动态启发式又叫虚拟机查杀技术,会模拟出一个近似于windows的系统,但没有我们使用的windows那么全健,杀软会把病毒丢进他的虚拟机里,进行操作监视,如果操作越可疑,就越容易被定为病毒这段话为了大家能看懂,我省去了一些专业术语

3、HIPS

HIPS可以说是主动防御,何为主动防御,一个马儿如果通过了表面查杀,那么主动防御就是最后一道防线,既然是最后一道防线,做得肯定要很牛咯。HIPS主要是对一个软件运行时的进行检测,如果发现软件有注册表操作,加载驱动这些一般程序不应操作的操作时,那么他就会以他R0级的优势,拦截掉,并将程序暂停运行,也就是挂起,询问用户是否进行该操作。

4、云安全

云查杀。这个是这样的。首先,杀软那里有一套规则,如果一个软件触犯了这些规则,则杀软会上报至云服务器,到了云服务器后,则会对上报文件进行鉴定,可能会是人工鉴定,这样的效果比杀软查杀效果要好得多。那么如果分析出这个程序是病毒,那么就会将这个程序的MD5发生至云中心,用户在联网状态下杀毒的话,就与云中心核对MD5,如果对上了,无条件认定为病毒

六、免杀方面的术语
1、API

Windows API是一套用来控制Windows的各个部件的外观和行为的预先定义的Windows函数。用户的每个动作都会引发一个或几个函数的运行以告诉Windows发生了什么。API这个,我也说不清。我认为是这样的,程序的操作都会有一个API,有些操作产生的API则是可疑的,如,写注册表这一类的api就会被杀软所盯上,报为病毒。

2、花指令

花指令是一段无用代码,用来迷惑杀毒软件。就好像男扮女装,用来伪装自己。

3、输入表

输入表是每个程序必备的,里面有程序所调用的大小姐函数,而一些可疑操作的函数则会引起杀软注意。

4、区段

区段是程序保存数据的地方,不同的区段保存了不同的东西,大家可以用LPE打开一个程序,找到区段选项,就可以看到区段了。

5、加壳

加壳分为加压缩壳和保护壳〔加密壳〕压缩壳是目的是使程序变小,但无保护程序防止被反破解的作用。保护壳恰恰相反,保护壳的目的是使程序尽量防止被反汇报,但好的保护壳会议给程序植入大量垃圾代码,以干扰破解版者,所以程序会变大。

6、反启发

即加入对杀软的启发式干扰的代码

7、隐藏输入表

即让输入表无法在c32中出现。


今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

网络安全学习资源分享:

给大家分享我自己学习的一份全套的网络安全学习资料,希望对想学习 网络安全的小伙伴们有帮助!

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

【点击免费领取】CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》

1.学习路线图

在这里插入图片描述

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。【点击领取视频教程】

在这里插入图片描述

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取技术文档】

在这里插入图片描述

(都打包成一块的了,不能一一展开,总共300多集)

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取书籍】

在这里插入图片描述

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

在这里插入图片描述

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

在这里插入图片描述

标签:网络安全,免杀,特征,查杀,就够,源码,启发式,输入
From: https://blog.csdn.net/qq_34851291/article/details/140175716

相关文章

  • MySQL网络安全&容灾备份
    网络安全主要三个方面。一般云厂商都提供网络相关的安全:白名单、私有网络、SSL加密等。 网络:  MySQL服务器与客户端连接安全SSL(TLS)加密传输。  账户使用较弱的密码或不使用密码,账号安全。valited_password。  账号权限,最小化原则。  网络访问控制,云厂商使用白名单......
  • 网络安全怎么学习才好呢?
    搞网络安全的话,建议不要学那些乱七八糟的东西。建议:1、通信协议,包括7层协议,得搞清楚那个数据块做什么用,那个位做什么用,这点很重要李鬼可以冒充李逵。2、目前常用操作系统,建议从linux入手,都破门而入了,就不必要在乎钥匙不钥匙3、熟悉一两个开源服务程序比如apachehttp,ng......
  • 听专家的,不如听国家的,网络安全究竟值不值得报?
    考学选专业,或者跳槽选行业的,看这篇!如果你什么都不懂,家里也没有矿,那就紧跟国家大事和地方政策。关于网络安全专业究竟是否值得报考?要知道“二十大”、“十四五”等大会一直在提一个词叫做“数字中国建设”,数字化的进程也必然会带来很多风口。5G带来物联网和人工智能的风口,......
  • 【网络安全】副业兼职日入12k,网安人不接私活就太可惜了!
    暑假来了,很多同学后台私信我求做兼职的路子,这里,我整理了一份详细攻略,请大家务必查收,这可能会帮你把几个学期的生活费都赚够!Up刚工作就开始做挖漏洞兼职,最高一次赚了12k,后面还拿过奖。 近两年互联网裁员潮,我却从未担心过,因为我的副业收入就有主业三倍之多。行业寒冬,网安人......
  • 【2024版】最新HW参考 | HVV行动之蓝军经验总结(非常详细)零基础入门到精通,收藏这一篇就
    ‍正文:HW行动,攻击方的专业性越来越高,ATT&CK攻击手段覆盖率也越来越高,这对于防守方提出了更高的要求,HW行动对甲方是一个双刃剑,既极大地推动了公司的信息安全重视度和投入力量,但同时对甲方人员的素质要求有了很大提升,被攻破,轻则批评通报,重则岗位不保;大的金融、央企可能不担心......
  • 磁盘分区?合并?看这一篇文章就够了
    一、故事开篇        你会不会有这样的诉求呢?刚买了一块磁盘,但是自己的不同资料想要分盘管理,不想一股脑地都放在同一个盘下面,也还不想再买一块盘。莫慌,你可以对一块磁盘进行分区,行话就叫“磁盘分区”。如下图我的磁盘:    (一个小知识:系统盘默认叫C盘,每加一......
  • Linux简史看这篇就够了
    目录一、Unix操作系统1、为什么要讲Unix?2、Unix发展史2.1、早期计算机存在的问题2.2、CTSS系统诞生2.3、Multics计划2.4、Unics诞生2.5、Unix系统诞生2.6、Unix版权宣告2.7、Minix系统诞生二、Linux操作系统1、Linux系统起源2、GNU计划3、Linux版本的衍生版本3.......
  • 计算机网络安全简答题
    1.简述DES算法的加密流程(1)64位的明⽂经过初始置换IP⽽被重新排列。(2)进⾏16轮的迭代过程,每轮的作⽤中都有置换和代换,最后⼀轮迭代的输出有64位,它是输⼊明⽂和密钥的函数,将其左半部分和右半部分互换产⽣预输出。(3)预输出经过初始逆置换的作⽤产⽣64位的密⽂。 简单概括就是:......
  • 网络安全(黑客)自学
    当我们谈论网络安全时,我们正在讨论的是保护我们的在线空间,这是我们所有人的共享责任。网络安全涉及保护我们的信息,防止被未经授权的人访问、披露、破坏或修改。一、网络安全的基本概念网络安全是一种保护:它涉及保护我们的设备和信息,从各种威胁,如病毒和蠕虫,到更复杂的形式的网......
  • 网络安全:网站服务器建立数据库连接时出错的解决办法…[通俗易懂]
    大家好,又见面了。PONY在这里教给大家2个简单处理办法,大神就不用看了,太简单浪费时间哈哈很多新手使用wordpress程序建站初期,会遇到页面提示:建立数据库连接出错,英文提示:“Errorestablishingadatabaseconnection”。那么遇到这种情况大家会很头疼,我到底哪里操作不对呀?本文中老......