一.免殺的方法:
1.特徵碼法
2.校驗和法
3.行為監測法
4.軟體模擬法
二.目前主流防毒軟體以特徵碼法為主。
常見防毒軟體
1.卡巴斯基
2.瑞星
3.江民防毒軟體
4.諾頓
5.金山毒霸
6.nod32
7.麥咖啡
8.小紅傘
9.f-prot antivirus
10.微軟防毒
三.根據類別和方法分類
1.內部免殺和外部免殺
2.特徵碼免殺和大範圍免殺.
3.檔案,記憶體,行為免殺.
4.盲免技術
四. 加殼免殺
1.殼分類:(1)壓縮殼(2)加密殼(3)**殼
2.免殺效果分類:(1)檔案免殺殼(2)記憶體免殺殼(3)行為免殺殼
盲免技術:一種隱藏在圈內很久未被公開的免殺技術。
五.搭建實驗環境
搭建虛擬機器。及安裝tools
冰點還原程式安裝。
六.常用免殺工具一覽
exescope .lordpe .ultraedit-32.mycc 等等
七.pe結構簡單介紹
太難看了2遍沒看懂。
pe通俗的講,pe是一種格式,是微軟win32環境可執行檔案的標準格式(所謂可執行檔案不光是.exe檔案,還包括.dll/.vxd/.sys/.vdm等)pe就是protable executable的縮寫,portable是指對於不同的windows版本和不同的cpu型別上pe檔案的格式是一樣的,當然cpu不一樣了,cpu指令的二進位制編碼是不一樣的,只是檔案中各種東西的布局是一樣的。
pe檔案使用的是一平面位址空間,所有**和資料都合併在一起,組成乙個很大的結構。
1.入口點 entry point
2.檔案偏移位址 file offset
3.虛擬位址 virtual address簡稱va
4.基位址 imagebase
5.相對虛擬位址 relative virual address
公式:rva(相對虛擬位址)=va(虛擬位址)-imagebase(基位址)
檔案偏移位址和虛擬位址轉換
檔案偏移位址 file offset=rva(相對虛擬位址)-k
檔案偏移位址 file offset=va(虛擬位址)-imagebase(基位址)
八.脫殼方法
1.跟蹤出口法
已知upx的殼出口關鍵字是popad~直接輸入命令跟蹤到出口。執行到所選。單步跟蹤既可脫殼
2.斷點法
bp loadlibrarya 經過兩個很關鍵的脫殼相關函式,很快到入口點,前面有popad
bp getprocaddress 這個優先下斷點,可省略很多迴圈,我們在第一篇已看清upx手動脫殼流程.
upx加殼入口第一句是pushad
出口關鍵字
popad
一般經過jmp跨段跳躍到入口處.
有了手動脫殼第一片的總結,脫upx殼很容易.
好,我們看第二個upx殼。
九.免殺方法
1.利用多個花指令的方法實現木馬免殺。
2.利用殼外花實現木馬免殺(加upx殼後再在殼的基礎上面加花指令)
3.利用freeres實現加多殼免殺(1.使用svkp加殼,2.使用freeres載入進去,功能-建立可編輯資源 3.再使用aspak加殼),即可免殺一部分的防毒軟體。
4.修改aspk,upx殼標頭檔案免殺木馬。
aspk修改:
jmp 45a874f7 改 call 45a874f7
add ebx,ebp 改 adc ebx,ebp
upx修改:
jmp short 004ba4ca 改jmp short 004ba4ca
jnb short 004ba4a
jb short 004ba4c
5.修改pe頭方法,木馬正常上線。
pe頭移位,
6.利用she技術給木馬加花
例如:push *********
mov eax,dword ptr fs:[0]
push eax
mov dword ptr fs:[0]esp
mov ebx,0
div ebx
使用zeroadd.exe新增乙個零區域,將以上**輸入進去,
*********x為程式入口點,儲存檔案後,程式正常開啟。
7.利用去頭加花方法實現木馬免殺
未完待續
免殺 彙編指令大全
1.通用資料傳送指令.mov 傳送字或位元組.movsx 先符號擴充套件,再傳送.movzx 先零擴充套件,再傳送.push 把字壓入堆疊.pop 把字彈出堆疊.pusha 把ax,cx,dx,bx,sp,bp,si,di依次壓入堆疊.popa 把di,si,bp,sp,bx,dx,cx,ax依次彈...
《黑客免殺攻防學習筆記》 免殺與特徵碼
1.特徵碼免殺技術 這裡主要是用到分割法,就是將乙份病毒檔案分割成多份讓反病毒軟體掃瞄,然後再將掃瞄出有問題的那份檔案再次分割,直到分割到長度適合為止。如下圖所示 若是獲得合適的檔案之後,再將這份檔案進行相應的處理,比如可以新增一些花指令等 混淆技術。因為許多防毒軟體進行查殺都是直接特徵碼或是校驗和...
免殺(必備彙編基礎 壹)
彙編又作 為一門必學的基礎出現 總之,彙編真的是很重要很重要。關於彙編的概述我們這裡不多講,但是要想更好的學習程式設計,還有諸如破解之類的 技術,匯 編是必備的基 礎,大神必啃。暫存器 顧名思義,暫存器就是暫時儲存資料的地方,暫存器被設計在cpu內部,對於乙個彙編程式設計師來說,cpu中最主要的部分...