网络安全渗透测试之木马免杀
Posted 跳楼梯企鹅
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了网络安全渗透测试之木马免杀相关的知识,希望对你有一定的参考价值。
博主昵称:跳楼梯企鹅
博主主页面链接:博主主页传送门博主专栏页面连接:专栏传送门--网路安全技术
创作初心:本博客的初心为与技术朋友们相互交流,每个人的技术都存在短板,博主也是一样,虚心求教,望各位技术友给予指导。
博主座右铭:发现光,追随光,成为光,散发光;
博主研究方向:渗透测试、机器学习 ;
博主寄语:感谢各位技术友的支持,您的支持就是我前进的动力 ;
目录
一、免杀概念
1.什么是免杀
免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti -AntiVirus(简写Virus AV),逐字翻译为“ 反-反病毒”,翻译为“反杀毒技术”。通俗点讲,也就是一个被杀软报毒的PE文 件,经过一系列处理后,使杀软不认为他 是一个病毒或木马。
2.杀软的查杀方法
(1)特征码查杀
特征码查杀你说杀软要认为这个东西是个木马得有个判断条件吧,总不可能随便给你杀了。特征码就是最基础的查杀方式。特征码是什么?特征码就是病毒分析狮从病毒中提取的不大众化的不大于64字节的特征串。通过判断是否有这个特征字符串从而确定是否为病毒。通常为了减少误报,一个病毒会取数个特征码。
(2)静态启发式
静态启发式即对整个软件进行分析。首先,杀软会规定规则,这个问题规则就是法律一样的,如果静态启发式分析出了杀软中的规定的法律,那么他的怀疑等级就会提高,跟起诉一个犯罪嫌疑人的证据一样,证据越多,那个人的可疑性就越高,到一定程度,就被认证存在危害。
(3) 动态启发式
动态启发式又叫虚拟机查杀技术,会模拟出一个近似于windows的系统,但没有我们使用的windows那么全健,杀软会把病毒丢进他的虚拟机里,进行操作监视,如果操作越可疑,就越容易被定为病毒
(4)HIPS
HIPS可以说是主动防御,何为主动防御,一个马儿如果通过了表面查杀,那么主动防御就是最后一道防线,既然是最后一道防线,做得肯定要很牛咯。HIPS主要是对一个软件运行时的进行检测,如果发现软件有注册表操作,加载驱动这些一般程序不应操作的操作时,那么他就会以他R0级的优势,拦截掉,并将程序暂停运行,也就是挂起,询问用户是否进行该操作。
(5)云查杀
云查杀。这个是这样的。首先,杀软那里有一套规则,如果一个软件触犯了这些规则,则杀软会上报至云服务器,到了云服务器后,则会对上报文件进行鉴定,可能会是人工鉴定,这样的效果比杀软查杀效果要好得多。那么如果分析出这个程序是病毒,那么就会将这个程序的MD5发生至云中心,用户在联网状态下杀毒的话,就与云中心核对MD5,如果对上了,无条件认定为病毒
二、免杀术语
1.API
Windows API是一套用来控制Windows的各个部件的外观和行为的预先定义的Windows函数。用户的每个动作都会引发一个或几个函数的运行以告诉Windows发生了什么。API这个,我也说不清。我认为是这样的,程序的操作都会有一个API,有些操作产生的API则是可疑的,如,写注册表这一类的api就会被杀软所盯上,报为病毒。
2.花指令
花指令是一段无用代码,用来迷惑杀毒软件。就好像男扮女装,用来伪装自己。
3.反启发
即加入对杀软的启发式干扰的代码
4.输入表
输入表是每个程序必备的,里面有程序所调用的大小写函数,而一些可疑操作的函数则会引起杀软注意。
5.区段
区段是程序保存数据的地方,不同的区段保存了不同的东西,大家可以用LPE打开一个程序,找到区段选项,就可以看到区段了。
6.加壳
加壳分为加压缩壳和保护壳〔加密壳〕压缩壳是目的是使程序变小,但无保护程序防止被反破解的作用。保护壳恰恰相反,保护壳的目的是使程序尽量防止被反汇报,但好的保护壳会议给程序植入大量垃圾代码,以干扰破解版者,所以程序会变大。
以上是关于网络安全渗透测试之木马免杀的主要内容,如果未能解决你的问题,请参考以下文章
渗透测试笔记之Python免杀——两行代码实现免杀!VT查杀率:10/68(思路:将ShellCode和Loader一起分离免杀)