木马免杀(篇一)基础知识学习
————
简单的木马就是一个 exe 文件,比如今年hw流传的一张图:某可疑 exe 文件正在加载。当然木马还可能伪造成各式各样的文件,dll动态链接库文件、lnk快捷方式文件等,也可能与正常的软件绑定在一起,所以那些来路不明的文件都有可能存在木马病毒。
生成木马一般使用msf 或 cs (只会这~),传到目标机器,如果目标有杀软,我们的木马就会被删除。可能木马执行之后被查杀,可能文件传过去马上就被查杀。涉及到木马的免杀程度不同,杀软的查杀方式、查杀力度不同。
————
免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对⽴立⾯面,英⽂文为 Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,翻译为“反杀毒技术。
杀软:
Windows defender、火绒、360、卡巴斯基等
在线检测:
微步、virustotal 等
virustotal:
https://www.virustotal.com/gui/home/upload
——————————
杀软木马查杀/检测方式
在现代网络环境中,木马病毒成为威胁计算机安全的重要因素之一。为了保护系统免受木马侵害,杀软采用了多种查杀和检测方式,其中包括基于特征码的静态扫描、行为分析和沙盒分析等技术。
基于特征码的静态扫描
通过将文件与病毒特征库对比,如果信息中有与病毒特征相符合的,即判断文件被病毒感染。
特征是文件内部特有的的一段或几段代码,正常程序不会有这些特征。
特征码:能识别一个程序是一个病毒的一段不大于64字节的特征串
优点,速度快,准确率较高。缺点,无法检测新型病毒,需不断更新新病毒的特征码。
行为分析
通过监视系统中程序的行为,检测是否有异常活动,如文件的可疑操作、注册表项的修改等。
病毒通常会有一些共同的行为特征,这些特征与正常程序的行为相比较为特殊。通过监视进程的行为,行为分析可以发现这些异常活动并识别出潜在的木马威胁。
优点,可发现未知病毒。缺点,可能误报,无法识别病毒名称,实现有难度。
沙盒分析
沙盒分析是一种高级的木马检测方法,它能够在隔离的环境中执行可疑文件,并观察其行为。通过在隔离环境中模拟真实操作系统,沙盒可以捕获木马的恶意活动,如文件的修改、网络通信等。
有助于安全专家识别木马的行为模式并采取相应的应对措施。沙盒分析对于检测新型木马和高级威胁尤为有效,但也需要较高的技术水平和资源投入。
——————————
免杀技术
修改特征码
花指令免杀
加壳免杀
内存免杀
二次编译
分离免杀
资源修改
数字签名
修改特征码
破坏病毒与木马固有的特征,原有功能不改变。使程序不被特征码识别。
校验和是根据病毒⽂文件中与众不不同的区块计算出来,如果⼀一个⽂文件某个特定区域的校验和
符合病毒库中的特征,那么反病毒软件就会报警。
那么对病毒的特定区域进⾏行行⼀一定的更更改,就会使这⼀一区域的校验和改变,从⽽而
达到欺骗反病毒软件的⽬目的。
所以要进行免杀要先定位找到特征码,并修改为与杀软特征库不同。
花指令免杀
花指令是指一段毫⽆无意义的指令,也可以称之为垃圾指令。
特征识别码都是在⼀一定偏移量量限制之内的,否则会对反病毒软件的效率产⽣生严重的影响。
添加一段段花指令之后,程序的部分偏移会受到影响。病毒软件不能识别这段花指令,那么它检测特征码的偏移量会整体位移一段位置,自然也就⽆无法正常检测⽊木⻢马了了。
加壳免杀
软件加壳也可称为软件加密、软件压缩。壳是软件增加的保护,不会破坏里面的程序结构。
运行加壳程序时,会先运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。
加壳可以将特征码都掩盖,但是壳也有自己的特征,杀软检测到加壳程序可能会直接弹窗或直接进行脱壳分析。所以可以选择冷门的加密壳。
内存免杀
除了在静态文件上进行特征码检测外,杀软还会在程序运行时监测内存中的特征码。恶意软件可以在内存中进行自我修改,以避免被杀软检测到。
二次编译
目前msfvenom的encoder特征基本都进入了杀软的漏洞库,很难实现单一encoder编码绕过杀软,所以对shellcode进行进⼀步修改编译成了了msf免杀的主流。互联网上有很多借助于C、C#、python等语⾔言对shellcode进行二次编码从而达到免杀的效果。
分离免杀
将恶意代码和加载器分离,加载器负责将恶意代码加载到内存中执行,从而绕过杀软的静态分析。
资源修改
对文件的图标、版本信息、对话框等资源进行修改。比如工具 ResHacker 工具。
数字签名
恶意软件开发者可能会使用数字签名技术来伪装恶意代码,使其看起来像是来自受信任的来源。这可以让恶意软件在一些安全机制下绕过检测。
——————————————
总结
木马查杀和免杀技术是网络安全领域中一场持续的斗争。杀软不断更新自己的检测技术,而恶意软件开发者也在不断创新免杀技术,双方相互较劲。有效的木马查杀技术可以帮助保护系统免受威胁,而了解免杀技术也能帮助安全专家。
同时技术不仅限于前面说到的几种,比如现在还会有人工智能与机器学习等更高级的技术去检测威胁。
这里只是通过这几种典型的技术例子更好得理解木马的查杀与免杀。
