免殺基礎(chǔ)學(xué)習(xí)記錄-殺軟特性、查殺方式、術(shù)語(yǔ)
當(dāng)前位置:點(diǎn)晴教程→知識(shí)管理交流
→『 技術(shù)文檔交流 』
前言參考SecretTeam安全團(tuán)隊(duì)的學(xué)習(xí)記錄 什么是免殺?免殺(Bypass AV, Anti-Virus Evasion)是指惡意軟件通過各種手段規(guī)避殺毒軟件和安全檢測(cè)系統(tǒng)的識(shí)別和攔截,從而在目標(biāo)系統(tǒng)中成功執(zhí)行。這種技術(shù)不僅用于惡意軟件的傳播,也被信息安全研究人員用來(lái)測(cè)試和提升安全防護(hù)系統(tǒng)的能力。根據(jù)有無(wú)源碼,免殺可以分為以下兩種情況:
直接對(duì)一個(gè)二進(jìn)制程序進(jìn)行免殺,通過修改數(shù)據(jù),加殼加花,定位修改特征碼等等黑盒方式
通過修改源碼來(lái)進(jìn)行免殺(大概率成為今后免殺的主流) 直接對(duì)一個(gè)二進(jìn)制程序來(lái)進(jìn)行免殺技術(shù)難度較高,免殺效果也不好,所以通常將二進(jìn)制程序轉(zhuǎn)換成一段shellcode,使用加載器來(lái)執(zhí)行shellcode的方式來(lái)進(jìn)行從無(wú)源碼免殺向有源碼免殺的轉(zhuǎn)換,根據(jù)免殺階段還分為以下兩個(gè)階段:
靜態(tài)免殺主要是為了抵抗殺毒軟件的靜態(tài)掃描,殺毒軟件的靜態(tài)掃描一般會(huì)通過提取文件中的一段特征串來(lái)與自身的病毒庫(kù)中的特征碼進(jìn)行對(duì)比來(lái)判斷該文件是否為惡意文件,因此我們一般圍繞修改或是掩蓋文件的特征碼來(lái)實(shí)現(xiàn)靜態(tài)免殺
動(dòng)態(tài)免殺主要是為了抵抗殺毒軟件的動(dòng)態(tài)查殺,如內(nèi)存掃描,行為分析等 殺軟特性360360有點(diǎn)全能了,在國(guó)內(nèi)基本各個(gè)方面都是頂尖
金山毒霸金山走的是云安全,云防護(hù),云鑒定這些云安全路線,所以,斷了網(wǎng)后金山就是個(gè)廢 江民主要是對(duì)特征碼和資源進(jìn)行定位查殺 瑞星主要是主動(dòng)防御查殺 卡巴斯基非常變態(tài)的一款殺軟,誤報(bào)低,查殺率高,特征碼+輸入表變態(tài)查殺+靜動(dòng)態(tài)啟發(fā)式+強(qiáng)力的虛擬機(jī)脫殼技術(shù)。人類已經(jīng)無(wú)法阻止卡巴斯基的輸入表查殺了,在反匯編下,你無(wú)論對(duì)輸入表怎么重建,移位都不行,需要進(jìn)行手動(dòng)異或加密。 小紅傘,木傘小紅傘的特征碼定位抗干擾技術(shù)和啟發(fā)式比較好 火絨主要是主動(dòng)防御這塊,靜態(tài)查殺也比較嚴(yán)格,不過很好做免殺 Windows Defender靜態(tài)查殺能力較強(qiáng),動(dòng)態(tài)查殺較強(qiáng),監(jiān)控 HTTP 流量 殺軟的查殺方式特征碼特征碼是什么?特征碼就是病毒分析師從病毒中提取的不大眾化的不大于64字節(jié)的特征串。通過判斷是否有這個(gè)特征字符串從而確定是否為病毒。通常為了減少誤報(bào),一個(gè)病毒會(huì)取數(shù)個(gè)特征碼。舉個(gè)例子,一款很出名的木馬,它的名字就能被當(dāng)作特征碼。 靜態(tài)啟發(fā)式靜態(tài)啟發(fā)式即對(duì)整個(gè)軟件進(jìn)行分析,殺軟會(huì)指定一系列的規(guī)則,然后對(duì)軟件進(jìn)行掃描,當(dāng)掃描出匹配這些規(guī)則的字符串等等之類時(shí),殺軟會(huì)將軟件標(biāo)記成懷疑對(duì)象,匹配到的規(guī)則越多,軟件的可疑程度越高,到一定程度,就成了惡意軟件了 動(dòng)態(tài)啟發(fā)式動(dòng)態(tài)啟發(fā)式又叫虛擬機(jī)查殺技術(shù),會(huì)模擬出一個(gè)近似于windows的系統(tǒng),殺軟將軟件放入這個(gè)虛擬機(jī)運(yùn)行,監(jiān)測(cè)它的行為,如果操作越可疑,就越容易被定為病毒 HIPSHIPS可以說是主動(dòng)防御,何為主動(dòng)防御,一個(gè)病毒或木馬如果通過了表面查殺,那么主動(dòng)防御就是最后一道防線,HIPS主要是對(duì)一個(gè)軟件運(yùn)行時(shí)的操作進(jìn)行檢測(cè),如果發(fā)現(xiàn)軟件有注冊(cè)表操作,加載驅(qū)動(dòng)這些一般程序不應(yīng)操作的操作時(shí),那么他就會(huì)以他R0級(jí)的優(yōu)勢(shì),攔截掉并將程序暫停運(yùn)行,也就是掛起,詢問用戶是否進(jìn)行該操作。 云查殺殺軟那里有一套規(guī)則,如果一個(gè)軟件觸犯了這些規(guī)則,則殺軟會(huì)上報(bào)至云服務(wù)器,到了云服務(wù)器后,則會(huì)對(duì)上報(bào)文件進(jìn)行鑒定,可能會(huì)是人工鑒定,這樣的效果比殺軟查殺效果要好得多。那么如果分析出這個(gè)程序是病毒,那么就會(huì)將這個(gè)程序的MD5發(fā)生至云中心,用戶在聯(lián)網(wǎng)狀態(tài)下殺毒的話,就與云中心核對(duì)MD5,如果對(duì)上了,無(wú)條件認(rèn)定為病毒。相當(dāng)于安裝了殺軟的所有用戶給云上提供素材,一旦素材在一臺(tái)電腦上被認(rèn)定為病毒,則所有安裝了該殺軟的用戶都會(huì)查殺這個(gè)素材 免殺中的術(shù)語(yǔ)API泛指Windows的API函數(shù),Windows編程中的內(nèi)容。Windows API是一套用來(lái)控制Windows的各個(gè)部件的外觀和行為的預(yù)先定義的Windows函數(shù),對(duì)Windows系統(tǒng)中的東西進(jìn)行操作都會(huì)用到API,比如我移動(dòng)個(gè)鼠標(biāo),點(diǎn)擊個(gè)鍵盤都會(huì)有相對(duì)于的API函數(shù) 花指令一段無(wú)意義的代碼,用來(lái)迷惑殺軟或則其它的反匯編工具,例如在匯編里:add eax, 1; sub eax, 1 輸入表(導(dǎo)入表)輸入表就相當(dāng)于EXE文件與DLL文件溝通的鑰匙,形象的可以比喻成兩個(gè)城市之間交流的高速公路,所有的導(dǎo)入函數(shù)信息都會(huì)寫入輸入表中,在PE 文件映射到內(nèi)存后,Windows 將相應(yīng)的DLL文件裝入,EXE 文件通過“輸入表”找到相應(yīng)的DLL 中的導(dǎo)入函數(shù),從而完成程序的正常運(yùn)行,這一動(dòng)態(tài)連接的過程都是由“輸入表”參與的。 區(qū)段PE結(jié)構(gòu)中的區(qū)段, 加殼加殼分為加壓縮殼和保護(hù)殼〔加密殼〕壓縮殼是目的是使程序變小,但沒有防止被反破解的作用。保護(hù)殼恰恰相反,保護(hù)殼的目的是使程序盡量防止被反匯編,但好的保護(hù)殼會(huì)給程序植入大量垃圾代碼,以干擾破解版者,所以程序會(huì)變大。 反啟發(fā)即加入對(duì)殺軟的啟發(fā)式干擾的代碼 隱藏輸入表通過自定義API的方式隱藏導(dǎo)入表中的惡意API 混淆這是一種將代碼轉(zhuǎn)換為難以理解的形式的技術(shù),使得分析者難以從字節(jié)碼中理解程序的邏輯?;煜梢詰?yīng)用于源代碼、編譯后的代碼或二進(jìn)制文件 代碼注入將惡意代碼注入到合法程序中,使得惡意代碼在合法程序的執(zhí)行過程中被執(zhí)行,從而避開殺毒軟件的檢測(cè)。 內(nèi)存執(zhí)行惡意代碼不在磁盤上留下痕跡,而是直接在內(nèi)存中執(zhí)行,這樣可以減少被殺毒軟件掃描到的機(jī)會(huì) 文件加密將惡意文件加密存儲(chǔ),只有在執(zhí)行時(shí)才解密,這樣可以避免殺毒軟件通過文件內(nèi)容進(jìn)行檢測(cè)。 多態(tài)生成多個(gè)變種的惡意代碼,每種變種都有不同的特征,使得殺毒軟件難以通過單一的特征碼來(lái)識(shí)別。 行為混淆通過改變程序的行為模式,使得惡意行為看起來(lái)像是正常行為,從而避開基于行為分析的檢測(cè) 0day利用操作系統(tǒng)或應(yīng)用程序的0day漏洞來(lái)執(zhí)行惡意代碼,殺毒軟件無(wú)法檢測(cè)到 簽名使用合法的數(shù)字證書簽名惡意軟件,以欺騙用戶和殺毒軟件,使其看起來(lái)像是可信的軟件 沙箱逃逸沙箱是一種檢測(cè)惡意軟件的環(huán)境,它模擬了一個(gè)安全的執(zhí)行環(huán)境。沙箱逃逸技術(shù)是指惡意軟件能夠檢測(cè)到自己是否在沙箱中運(yùn)行,并在檢測(cè)到沙箱時(shí)改變行為,以避免被檢測(cè)。 利用系統(tǒng)服務(wù)通過操作系統(tǒng)服務(wù)來(lái)執(zhí)行惡意行為,因?yàn)橄到y(tǒng)服務(wù)通常具有較高的權(quán)限,可以繞過一些安全措施 利用云服務(wù)將惡意代碼或數(shù)據(jù)存儲(chǔ)在云服務(wù)上,通過云服務(wù)來(lái)分發(fā)或執(zhí)行惡意行為,這樣可以分散風(fēng)險(xiǎn)并增加檢測(cè)難度 殺軟報(bào)毒命名規(guī)則殺毒軟件的報(bào)毒基本遵循一套原則,就是
前綴該前綴標(biāo)識(shí)檢測(cè)到該對(duì)象的子系統(tǒng)。 行為威脅類型/行為代表主要威脅類別,描述威脅的主要行為是什么
平臺(tái)通常指win32,x64,linux,mac os 家族用于表示一組具有相同來(lái)源(作者、源代碼)、操作原理或有效負(fù)載的檢測(cè)到的對(duì)象。每個(gè)家族都是根據(jù)其表現(xiàn)的行為來(lái)命名的。常見的就是:Generic、Infector、AntiAV、KillFiles等。 變體為了識(shí)別一個(gè)家族中不同惡意軟件的變體,字母按順序使用并稱為變體,從“.a”開始:“.a”-“.z”、“.aa”-“.zz”等 報(bào)毒案例
轉(zhuǎn)自https://www.cnblogs.com/F12-blog/p/18362694 該文章在 2024/11/13 8:59:59 編輯過 |
關(guān)鍵字查詢
相關(guān)文章
正在查詢... |