木马免杀(篇一)基础知识学习

news2024/11/15 18:04:22

木马免杀(篇一)基础知识学习

————
简单的木马就是一个 exe 文件,比如今年hw流传的一张图:某可疑 exe 文件正在加载。当然木马还可能伪造成各式各样的文件,dll动态链接库文件、lnk快捷方式文件等,也可能与正常的软件绑定在一起,所以那些来路不明的文件都有可能存在木马病毒。
在这里插入图片描述

生成木马一般使用msf 或 cs (只会这~),传到目标机器,如果目标有杀软,我们的木马就会被删除。可能木马执行之后被查杀,可能文件传过去马上就被查杀。涉及到木马的免杀程度不同,杀软的查杀方式、查杀力度不同。
————
免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对⽴立⾯面,英⽂文为 Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,翻译为“反杀毒技术。

杀软:

Windows defender、火绒、360、卡巴斯基等
在线检测:
微步、virustotal 等
virustotal:
https://www.virustotal.com/gui/home/upload

——————————

杀软木马查杀/检测方式

在现代网络环境中,木马病毒成为威胁计算机安全的重要因素之一。为了保护系统免受木马侵害,杀软采用了多种查杀和检测方式,其中包括基于特征码的静态扫描、行为分析和沙盒分析等技术。

基于特征码的静态扫描

通过将文件与病毒特征库对比,如果信息中有与病毒特征相符合的,即判断文件被病毒感染。
特征是文件内部特有的的一段或几段代码,正常程序不会有这些特征。
特征码:能识别一个程序是一个病毒的一段不大于64字节的特征串
优点,速度快,准确率较高。缺点,无法检测新型病毒,需不断更新新病毒的特征码。

行为分析

通过监视系统中程序的行为,检测是否有异常活动,如文件的可疑操作、注册表项的修改等。
病毒通常会有一些共同的行为特征,这些特征与正常程序的行为相比较为特殊。通过监视进程的行为,行为分析可以发现这些异常活动并识别出潜在的木马威胁。
优点,可发现未知病毒。缺点,可能误报,无法识别病毒名称,实现有难度。

沙盒分析

沙盒分析是一种高级的木马检测方法,它能够在隔离的环境中执行可疑文件,并观察其行为。通过在隔离环境中模拟真实操作系统,沙盒可以捕获木马的恶意活动,如文件的修改、网络通信等。
有助于安全专家识别木马的行为模式并采取相应的应对措施。沙盒分析对于检测新型木马和高级威胁尤为有效,但也需要较高的技术水平和资源投入。

——————————

免杀技术

修改特征码
花指令免杀
加壳免杀
内存免杀
二次编译
分离免杀
资源修改
数字签名

修改特征码

破坏病毒与木马固有的特征,原有功能不改变。使程序不被特征码识别。
校验和是根据病毒⽂文件中与众不不同的区块计算出来,如果⼀一个⽂文件某个特定区域的校验和
符合病毒库中的特征,那么反病毒软件就会报警。
那么对病毒的特定区域进⾏行行⼀一定的更更改,就会使这⼀一区域的校验和改变,从⽽而
达到欺骗反病毒软件的⽬目的。
所以要进行免杀要先定位找到特征码,并修改为与杀软特征库不同。

花指令免杀

花指令是指一段毫⽆无意义的指令,也可以称之为垃圾指令。
特征识别码都是在⼀一定偏移量量限制之内的,否则会对反病毒软件的效率产⽣生严重的影响。
添加一段段花指令之后,程序的部分偏移会受到影响。病毒软件不能识别这段花指令,那么它检测特征码的偏移量会整体位移一段位置,自然也就⽆无法正常检测⽊木⻢马了了。

加壳免杀

软件加壳也可称为软件加密、软件压缩。壳是软件增加的保护,不会破坏里面的程序结构。
运行加壳程序时,会先运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。
加壳可以将特征码都掩盖,但是壳也有自己的特征,杀软检测到加壳程序可能会直接弹窗或直接进行脱壳分析。所以可以选择冷门的加密壳。

内存免杀

除了在静态文件上进行特征码检测外,杀软还会在程序运行时监测内存中的特征码。恶意软件可以在内存中进行自我修改,以避免被杀软检测到。

二次编译

目前msfvenom的encoder特征基本都进入了杀软的漏洞库,很难实现单一encoder编码绕过杀软,所以对shellcode进行进⼀步修改编译成了了msf免杀的主流。互联网上有很多借助于C、C#、python等语⾔言对shellcode进行二次编码从而达到免杀的效果。

分离免杀

将恶意代码和加载器分离,加载器负责将恶意代码加载到内存中执行,从而绕过杀软的静态分析。

资源修改

对文件的图标、版本信息、对话框等资源进行修改。比如工具 ResHacker 工具。

数字签名

恶意软件开发者可能会使用数字签名技术来伪装恶意代码,使其看起来像是来自受信任的来源。这可以让恶意软件在一些安全机制下绕过检测。

——————————————

总结

木马查杀和免杀技术是网络安全领域中一场持续的斗争。杀软不断更新自己的检测技术,而恶意软件开发者也在不断创新免杀技术,双方相互较劲。有效的木马查杀技术可以帮助保护系统免受威胁,而了解免杀技术也能帮助安全专家。
同时技术不仅限于前面说到的几种,比如现在还会有人工智能与机器学习等更高级的技术去检测威胁。
这里只是通过这几种典型的技术例子更好得理解木马的查杀与免杀。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/855070.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

音视频基础:分辨率、码率、帧率之间关系

基础 人类视觉系统 分辨率 像素: 是指由图像的小方格组成的,这些小方块都有一个明确的位置和被分配的色彩数值,小方格颜色和位置就决定该图像所呈现出来的样子;可以将像素视为整个图像中不可分割的单位或者是元素;像素…

php通过递归获取分公司的上下级数据

1.表结构 2.php核心代码 /*** param $branches 全部分公司数据* param $parentId 查询的分公司id,传0则全部排序。大于0,则查询该分公司下的下级* param int $level 层级,方便界面特效* param int $level_grade 层级叠加数* return array*/f…

CNN的特性

1、位移不变性 它指的是无论物体在图像中的什么位置,卷积神经网络的识别结果都应该是一样的。 因为CNN就是利用一个kernel在整张图像上不断步进来完成卷积操作的,而且在这个过程中kernel的参数是共享的。换句话说,它其实就是拿了同一张“通…

Docker+rancher部署SkyWalking8.5并应用在springboot服务中

1.Skywalking介绍 Skywalking是一个国产的开源框架,2015年有吴晟个人开源,2017年加入Apache孵化器,国人开源的产品,主要开发人员来自于华为,2019年4月17日Apache董事会批准SkyWalking成为顶级项目,支持Jav…

预测成真,国内传来三个消息,中国年轻人变了,创新力产品崛起

中国的年轻人真的变了! 最近,国内传来三个消息,让外媒的预测成真。 第一,奥迪要开始用国产车的平台了。这里需要说明的是新能源汽车,奥迪也曾多次公开表示,承认了当前中国新能源汽车核心技术上的领先。 第…

【计算机网络】概述及数据链路层

每一层只依赖于下一层所提供的服务,使得各层之间相互独立、灵活性好,已于实现和维护,并能促进标准化工作。 应用层:通过应用进程间的交互完成特定的网络应用,HTTP、FTP、DNS,应用层交互的数据单元被称为报…

java编程规范

一、时间格式为什么有大写有小写呢? new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");为了区分月份和分钟,用大写M代表月份,小写m代表分钟 而大写的H代表24小时制,小写h代表12小时制 二、下面的程序判断等值的方式&…

【人工智能前沿弄潮】—— SAM自动生成物体mask

SAM自动生成物体mask 由于SAM可以高效处理提示,可以通过在图像上抽样大量的提示来生成整个图像的mask。这种方法被用来生成数据集SA-1B。 类SamAutomaticMaskGenerator实现了这个功能。它通过在图像上的网格中对单点输入提示进行抽样,从每个提示中SAM可…

基于关系有向图的知识推理2022ACM 8.9

基于关系有向图的知识推理 摘要介绍相关工作基于路径的方法基于GNN的方法 关系有向图RED-GCN实验 摘要 知识图推理旨在从已有的知识中推断出新的事实。基于关系路径的方法在文献中显示出较强的可解释性和归纳推理能力。然而,在KG中 捕获复杂拓扑(Capturing complex…

饮用水除硝酸盐、饮用水除砷、饮用水除氟、饮用水除铁锰的技术汇总

我们所说的“自来水”是指从水龙头里放出来的水。但从水龙头里放出来并不等于安全卫生。实际上,原水必须经过各种处理措施之后才能称为安全卫生的饮用水。每一滴水都要经过了混凝、沉淀、过滤、消毒四个步骤的处理,才能去除杂质和细菌,变得安…

Three.js纹理贴图

目录 Three.js入门 Three.js光源 Three.js阴影 Three.js纹理贴图 纹理是一种图像或图像数据,用于为物体的材质提供颜色、纹理、法线、位移等信息,从而实现更加逼真的渲染结果。 纹理可以应用于Three.js中的材质类型,如MeshBasicMaterial…

本质矩阵E、基本矩阵F、单应矩阵H

1. E (归一化坐标对进行计算) t ^ R 为3*3的矩阵, 因为R,t共有6个自由度,又因为单目尺度等价性,所以实际上E矩阵共有5个自由度。因此至少需要5个点对来求解。 2. 基本矩阵F:根据两帧间匹配的像素点对儿计算 3*3且自由度为7的矩阵kF也为基础矩阵&#x…

构建之法 - 软工教学:每天都向前推进一点点

作者:福州⼤学 汪璟玢⽼师 汪老师:每次都向前推进一点点,哪怕只有一点点,也好过什么都不做。 ​邹老师:对,几个学期下来,就已经超过那些“空想”的团队很远了。坚持下去! 汪老师&…

x86 kgdb deug调试分析

本文主要是收集,以下文章写得很好,我二次整理一下。 如果要手动livedb. 1. call kdbg_arch_late() 2. kgd_set_hw_break(addr,8,1); 3. kgdb_correct_hw_break();// enable bp to cpu regs -------------------------------分割线----------------…

第5讲:如何构建类的方法

【分享成果,随喜正能量】在这个社会上,对别人好一点,多站在别人的角度考虑,不要为小事争执,不要取笑他人,不要在别人背后嚼舌根,更不能逼人太甚。凡事退一步,对你有好处。。 《VBA中…

前沿分享-无创检测血糖RF波

非侵入性血糖仪,利用射频 (RF) 波连续测量血液中的葡萄糖水平。利用射频波技术连续实时监测血液中的葡萄糖水平,使用的辐射要比手机少得多。 大概原理是血液中的葡萄糖是具有介电特性,一般来说就是介电常数。 电磁波波幅的衰减反映了介质对电…

电脑文件丢失如何找回?使用这个方法轻松找回!

电脑文件丢失怎么办?有没有免费的电脑文件恢复软件?相信很多人在日常办公中也都经常会遇到这种现象,不管是在学习中,还是日常的办公,往往也都会在电脑上存储大量的数据文件,那么如果我们在日常办公操作过程…

忆恒创源发布PBlaze7 7940系列PCIe 5.0企业级NVMe SSD

今天,国内知名企业级SSD产品和解决方案供应商——北京忆恒创源科技股份有限公司(Memblaze,以下简称“忆恒创源”)全新一代PCIe 5.0企业级NVMe SSD PBlaze7 7940正式发布。与主流PCIe 4.0产品相比,PBlaze7 7940有着2.5倍…

1.利用matlab建立符号表达式(matlab程序)

1.简述 、 1. 使用sym命令创建符号变量和表达式 语法: sym(‘变量’,参数) %把变量定义为符号对象 说明:参数用来设置限定符号变量的数学特性,可以选择为’positive’、’real’和’unreal’, ’positive’ 表示为“正、实”符…

【C++】位图|布隆过滤器|海量数据处理面试题

文章目录 一.位图1. 位图的概念2. 位图的使用3. 位图的实现 二.布隆过滤器1. 布隆过滤器2. 布隆过滤器的实现 三.海量数据处理面试题1.位图2.布隆过滤器3.哈希切割 一.位图 1. 位图的概念 所谓位图,就是用每一位来存放某种状态,适用于海量数据&#xf…