木马免杀(篇一)基础知识学习

木马免杀(篇一)基础知识学习

————
简单的木马就是一个 exe 文件,比如今年hw流传的一张图:某可疑 exe 文件正在加载。当然木马还可能伪造成各式各样的文件,dll动态链接库文件、lnk快捷方式文件等,也可能与正常的软件绑定在一起,所以那些来路不明的文件都有可能存在木马病毒。
在这里插入图片描述

生成木马一般使用msf 或 cs (只会这~),传到目标机器,如果目标有杀软,我们的木马就会被删除。可能木马执行之后被查杀,可能文件传过去马上就被查杀。涉及到木马的免杀程度不同,杀软的查杀方式、查杀力度不同。
————
免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对⽴立⾯面,英⽂文为 Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,翻译为“反杀毒技术。

杀软:

Windows defender、火绒、360、卡巴斯基等
在线检测:
微步、virustotal 等
virustotal:
https://www.virustotal.com/gui/home/upload

——————————

杀软木马查杀/检测方式

在现代网络环境中,木马病毒成为威胁计算机安全的重要因素之一。为了保护系统免受木马侵害,杀软采用了多种查杀和检测方式,其中包括基于特征码的静态扫描、行为分析和沙盒分析等技术。

基于特征码的静态扫描

通过将文件与病毒特征库对比,如果信息中有与病毒特征相符合的,即判断文件被病毒感染。
特征是文件内部特有的的一段或几段代码,正常程序不会有这些特征。
特征码:能识别一个程序是一个病毒的一段不大于64字节的特征串
优点,速度快,准确率较高。缺点,无法检测新型病毒,需不断更新新病毒的特征码。

行为分析

通过监视系统中程序的行为,检测是否有异常活动,如文件的可疑操作、注册表项的修改等。
病毒通常会有一些共同的行为特征,这些特征与正常程序的行为相比较为特殊。通过监视进程的行为,行为分析可以发现这些异常活动并识别出潜在的木马威胁。
优点,可发现未知病毒。缺点,可能误报,无法识别病毒名称,实现有难度。

沙盒分析

沙盒分析是一种高级的木马检测方法,它能够在隔离的环境中执行可疑文件,并观察其行为。通过在隔离环境中模拟真实操作系统,沙盒可以捕获木马的恶意活动,如文件的修改、网络通信等。
有助于安全专家识别木马的行为模式并采取相应的应对措施。沙盒分析对于检测新型木马和高级威胁尤为有效,但也需要较高的技术水平和资源投入。

——————————

免杀技术

修改特征码
花指令免杀
加壳免杀
内存免杀
二次编译
分离免杀
资源修改
数字签名

修改特征码

破坏病毒与木马固有的特征,原有功能不改变。使程序不被特征码识别。
校验和是根据病毒⽂文件中与众不不同的区块计算出来,如果⼀一个⽂文件某个特定区域的校验和
符合病毒库中的特征,那么反病毒软件就会报警。
那么对病毒的特定区域进⾏行行⼀一定的更更改,就会使这⼀一区域的校验和改变,从⽽而
达到欺骗反病毒软件的⽬目的。
所以要进行免杀要先定位找到特征码,并修改为与杀软特征库不同。

花指令免杀

花指令是指一段毫⽆无意义的指令,也可以称之为垃圾指令。
特征识别码都是在⼀一定偏移量量限制之内的,否则会对反病毒软件的效率产⽣生严重的影响。
添加一段段花指令之后,程序的部分偏移会受到影响。病毒软件不能识别这段花指令,那么它检测特征码的偏移量会整体位移一段位置,自然也就⽆无法正常检测⽊木⻢马了了。

加壳免杀

软件加壳也可称为软件加密、软件压缩。壳是软件增加的保护,不会破坏里面的程序结构。
运行加壳程序时,会先运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。
加壳可以将特征码都掩盖,但是壳也有自己的特征,杀软检测到加壳程序可能会直接弹窗或直接进行脱壳分析。所以可以选择冷门的加密壳。

内存免杀

除了在静态文件上进行特征码检测外,杀软还会在程序运行时监测内存中的特征码。恶意软件可以在内存中进行自我修改,以避免被杀软检测到。

二次编译

目前msfvenom的encoder特征基本都进入了杀软的漏洞库,很难实现单一encoder编码绕过杀软,所以对shellcode进行进⼀步修改编译成了了msf免杀的主流。互联网上有很多借助于C、C#、python等语⾔言对shellcode进行二次编码从而达到免杀的效果。

分离免杀

将恶意代码和加载器分离,加载器负责将恶意代码加载到内存中执行,从而绕过杀软的静态分析。

资源修改

对文件的图标、版本信息、对话框等资源进行修改。比如工具 ResHacker 工具。

数字签名

恶意软件开发者可能会使用数字签名技术来伪装恶意代码,使其看起来像是来自受信任的来源。这可以让恶意软件在一些安全机制下绕过检测。

——————————————

总结

木马查杀和免杀技术是网络安全领域中一场持续的斗争。杀软不断更新自己的检测技术,而恶意软件开发者也在不断创新免杀技术,双方相互较劲。有效的木马查杀技术可以帮助保护系统免受威胁,而了解免杀技术也能帮助安全专家。
同时技术不仅限于前面说到的几种,比如现在还会有人工智能与机器学习等更高级的技术去检测威胁。
这里只是通过这几种典型的技术例子更好得理解木马的查杀与免杀。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/67250.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

.net core的Knife4jUI,让swagger更精致

要在 .NET Core 中使用 IGeekFan.AspNetCore.Knife4jUI,您可以按照以下步骤进行配置: 首先,安装 IGeekFan.AspNetCore.Knife4jUI NuGet 包。可以通过 Visual Studio 的 NuGet 包管理器或者 .NET CLI 进行安装。 在 Startup.cs 文件的 Config…

电脑数据怎么加密?电脑数据加密软件有哪些?

在生活和工作中,我们总离不开电脑,而电脑中那些重要的数据,需要我们加密保护。那么电脑数据该怎么加密呢?电脑数据加密软件又有哪些呢?下面我们就来了解一下吧。 电脑数据加密软件 一般来说,常见的电脑加密…

【从零学习python 】10.Python条件语句和if嵌套详解

文章目录 elif一、 elif的功能二、注意点if嵌套想一想: 一、if嵌套的格式二、if嵌套的应用为什么结果3和结果4相同??? 猜拳游戏运行效果:参考代码: if补充内容三、自动类型转换进阶案例 elif 如果有这样一种情况:当条件…

Electron学习1 安装环境与第一个程序

Electron学习1 安装环境与第一个程序 一、 Electron 简介二、安装 nvm三、安装nodejs四、安装nrm五、安装electron1. npm 初始化2. 创建 package.json3. 安装electron4. 创建一个页面5. 创建文件main.js6. 创建预加载器文件 preload.js7. 启动程序 六、打包 一、 Electron 简介…

TS学习笔记

一、变量与常量 //1、类型 2、面向对象 //输出语句、 //变量 //声明变量 字母数字下划线 驼峰命名 let personname "李逍遥001"; var personname1 "李逍遥002"; personname "李逍遥003" document.write(personname " " pe…

希尔排序——C语言andPython

前言 步骤 代码 C语言 Python 总结 前言 希尔排序(Shell Sort)是一种改进的插入排序算法,它通过将数组分成多个子序列进行排序,逐步减小子序列的长度,最终完成整个数组的排序。希尔排序的核心思想是通过排序较远距…

【ChatGPT 指令大全】销售怎么借力ChatGPT提高效率

目录 销售演说 电话销售 产出潜在客户清单 销售领域计划 销售培训计划 总结 随着人工智能技术的不断进步,我们现在有机会利用ChatGPT这样的智能助手来改进我们的销售工作。在接下来的时间里,我将为大家介绍如何运用ChatGPT提高销售效率并取得更好的…

苹果电脑图像元数据编辑器:MetaImage for Mac

MetaImage for Mac是一款功能强大的照片元数据编辑器,它可以帮助用户编辑并管理照片的元数据信息,包括基本信息和扩展信息。用户可以根据需要进行批量处理,方便快捷地管理大量照片。 MetaImage for Mac还提供了多种导入和导出格式&#xff0…

多用户跨境电商商品库系统快速搭建(全开源)

搭建一个多用户跨境电商商品库系统需要以下步骤: 1. 确定系统需求:首先,需要明确系统的功能需求,包括商品管理、订单管理、用户管理、支付管理等。根据具体需求确定系统的功能和界面设计。 2. 确定技术栈:选择合适的…

超融合基础架构 (HCI) 监控

什么是超融合基础架构 (HCI) 超融合基础架构 (HCI) 是一种软件定义的基础架构技术,它将计算、虚拟化和网络功能全部整合到一个设备中。超融合基础架构 (HCI) 解决方案使用软件和 x86 服务器来取…

【多维定向滤波器组和表面波】表面变换:用于高效表示多维 s 的多分辨率变换(Matlab代码实现)

💥💥💞💞欢迎来到本博客❤️❤️💥💥 🏆博主优势:🌞🌞🌞博客内容尽量做到思维缜密,逻辑清晰,为了方便读者。 ⛳️座右铭&a…

【校招VIP】java语言考点之static和并发

考点介绍: static考点是面试的高频考点,很多同学不理解使用场景,只是从加载出发。 一般从容易到难提问,比如从static的含义和理解、到JVM的存储或者到线程安全性,再到单例模式等。 java语言考点之static和并发 相关题…

本质矩阵E、基本矩阵F、单应矩阵H

1. E (归一化坐标对进行计算) t ^ R 为3*3的矩阵, 因为R,t共有6个自由度,又因为单目尺度等价性,所以实际上E矩阵共有5个自由度。因此至少需要5个点对来求解。 2. 基本矩阵F:根据两帧间匹配的像素点对儿计算 3*3且自由度为7的矩阵kF也为基础矩阵&#x…

c语言——三子棋

基本框架 三个文件: 其中.cpp文件用于游戏具体函数设计&#xff0c;.h文件为游戏的函数声明&#xff0c;test.cpp文件用于测试游戏运行。 需要用到的头文件&#xff1a; #include <stdio.h> #include <stdlib.h>//rand&srand #include <time.h>//时间相…

【BASH】回顾与知识点梳理(十四)

【BASH】回顾与知识点梳理 十四 十四. 文件与目录的默认权限与隐藏权限14.1 文件预设权限&#xff1a;umaskumask 的利用与重要性&#xff1a;专题制作 14.2 文件隐藏属性chattr (配置文件案隐藏属性)lsattr (显示文件隐藏属性) 14.3 文件特殊权限&#xff1a; SUID, SGID, SBI…

《剑指offer》(6)其他算法

先计算下三角&#xff0c;再遍历一次计算上三角。 class Solution: def multiply(self , A: List[int]) -> List[int]: #长度判断 n len(A) if n < 1: return [] B [1]*n #计算乘矩阵的下三角&#xff0c;B中的每一个数都是A的前一个数和B的前一个数相乘 for i in ran…

Linux系统中的自旋锁(两幅图清晰说明)

总结&#xff1a; 多CPU下的自旋锁采取的是忙等待&#xff08;原地打转&#xff09;机制&#xff0c;虽然忙等待的线程占用了它所在的cpu&#xff0c;但其他线程仍可放到其他CPU上执行。所以自旋锁上锁和解锁之间的临界区代码要尽量的短&#xff0c;最好不要超过5行&#xff0c…

【Linux拓展】ncurses库的安装和使用 {ncurses库的安装方法,ncurses库的使用手册,基于终端的贪吃蛇游戏}

一、简介 ncurses库是一个用于创建基于终端的交互式应用程序的库。它提供了一套API&#xff0c;用于处理终端界面的输入和输出&#xff0c;以及控制终端的光标位置、颜色、窗口等。 使用ncurses库&#xff0c;您可以在终端中创建复杂的文本界面&#xff0c;包括窗口、菜单、按…

能化校对软件:提高招标文件质量的创新解决方案

智能化校对软件是一种创新的解决方案&#xff0c;可以进一步提高招标文件的质量和准确性。 以下是一些智能化校对软件的创新功能和优势&#xff1a; 1.自然语言处理(NLP)技术&#xff1a;智能化校对软件利用NLP技术来理解和分析文本&#xff0c;识别和纠正更复杂的语法和语义错…

chapter14:springboot与安全

Spring Boot与安全视频 Spring Security, shiro等安全框架。主要功能是”认证“和”授权“&#xff0c;或者说是访问控制。 认证&#xff08;Authentication&#xff09;是建立在一个声明主体的过程&#xff08;一个主体一般指用户&#xff0c;设备或一些可以在你的应用程序中…