前言
參考SecretTeam安全團(tuán)隊(duì)的學(xué)習(xí)記錄
什么是免殺?
免殺(Bypass AV, Anti-Virus Evasion)是指惡意軟件通過各種手段規(guī)避殺毒軟件和安全檢測(cè)系統(tǒng)的識(shí)別和攔截�����,從而在目標(biāo)系統(tǒng)中成功執(zhí)行。這種技術(shù)不僅用于惡意軟件的傳播�,也被信息安全研究人員用來(lái)測(cè)試和提升安全防護(hù)系統(tǒng)的能力。根據(jù)有無(wú)源碼�,免殺可以分為以下兩種情況:
直接對(duì)一個(gè)二進(jìn)制程序進(jìn)行免殺,通過修改數(shù)據(jù)����,加殼加花,定位修改特征碼等等黑盒方式
通過修改源碼來(lái)進(jìn)行免殺(大概率成為今后免殺的主流)
直接對(duì)一個(gè)二進(jìn)制程序來(lái)進(jìn)行免殺技術(shù)難度較高���,免殺效果也不好���,所以通常將二進(jìn)制程序轉(zhuǎn)換成一段shellcode,使用加載器來(lái)執(zhí)行shellcode的方式來(lái)進(jìn)行從無(wú)源碼免殺向有源碼免殺的轉(zhuǎn)換���,根據(jù)免殺階段還分為以下兩個(gè)階段:
靜態(tài)免殺主要是為了抵抗殺毒軟件的靜態(tài)掃描�,殺毒軟件的靜態(tài)掃描一般會(huì)通過提取文件中的一段特征串來(lái)與自身的病毒庫(kù)中的特征碼進(jìn)行對(duì)比來(lái)判斷該文件是否為惡意文件�����,因此我們一般圍繞修改或是掩蓋文件的特征碼來(lái)實(shí)現(xiàn)靜態(tài)免殺
動(dòng)態(tài)免殺主要是為了抵抗殺毒軟件的動(dòng)態(tài)查殺�����,如內(nèi)存掃描,行為分析等
殺軟特性
360
360有點(diǎn)全能了���,在國(guó)內(nèi)基本各個(gè)方面都是頂尖
報(bào)毒特征
HEUR/Malware.QVM06.Gen 一般情況下加數(shù)字簽名可過
HEUR/Malware.QVM07.Gen 一般情況下?lián)Q資源
HEUR/Malware.QVM13.Gen 加殼了
HEUR/Malware.QVM19.Gen 殺殼 (lzz221089提供 )
HEUR/Malware.QVM20.Gen 改變了入口點(diǎn)
HEUR/Malware.QVM27.Gen 輸入表
HEUR/Malware.QVM18.Gen 加花
HEUR/Malware.QVM05.Gen 加資源�����,改入口點(diǎn)
QVM07加資源一般加到2M會(huì)報(bào)QVM06
再加數(shù)字簽名��,然后再慢慢減資源�,這個(gè)方法對(duì)大部分木馬有效果��。
QVM06 加數(shù)字簽名
QVM12殺殼
QVM13殺殼
QVM27殺輸入表
QVM19 加aspack
QVM20就加大體積/加aspack壓縮
金山毒霸
金山走的是云安全�����,云防護(hù)���,云鑒定這些云安全路線�,所以�����,斷了網(wǎng)后金山就是個(gè)廢
江民
主要是對(duì)特征碼和資源進(jìn)行定位查殺
瑞星
主要是主動(dòng)防御查殺
卡巴斯基
非常變態(tài)的一款殺軟����,誤報(bào)低,查殺率高��,特征碼+輸入表變態(tài)查殺+靜動(dòng)態(tài)啟發(fā)式+強(qiáng)力的虛擬機(jī)脫殼技術(shù)����。人類已經(jīng)無(wú)法阻止卡巴斯基的輸入表查殺了,在反匯編下��,你無(wú)論對(duì)輸入表怎么重建�,移位都不行,需要進(jìn)行手動(dòng)異或加密�。
小紅傘,木傘
小紅傘的特征碼定位抗干擾技術(shù)和啟發(fā)式比較好
火絨
主要是主動(dòng)防御這塊�����,靜態(tài)查殺也比較嚴(yán)格�����,不過很好做免殺
Windows Defender
靜態(tài)查殺能力較強(qiáng)�����,動(dòng)態(tài)查殺較強(qiáng),監(jiān)控 HTTP 流量
殺軟的查殺方式
特征碼
特征碼是什么����?特征碼就是病毒分析師從病毒中提取的不大眾化的不大于64字節(jié)的特征串。通過判斷是否有這個(gè)特征字符串從而確定是否為病毒�����。通常為了減少誤報(bào)����,一個(gè)病毒會(huì)取數(shù)個(gè)特征碼。舉個(gè)例子����,一款很出名的木馬,它的名字就能被當(dāng)作特征碼���。
靜態(tài)啟發(fā)式
靜態(tài)啟發(fā)式即對(duì)整個(gè)軟件進(jìn)行分析�,殺軟會(huì)指定一系列的規(guī)則��,然后對(duì)軟件進(jìn)行掃描���,當(dāng)掃描出匹配這些規(guī)則的字符串等等之類時(shí)��,殺軟會(huì)將軟件標(biāo)記成懷疑對(duì)象���,匹配到的規(guī)則越多,軟件的可疑程度越高�,到一定程度,就成了惡意軟件了
動(dòng)態(tài)啟發(fā)式
動(dòng)態(tài)啟發(fā)式又叫虛擬機(jī)查殺技術(shù)�����,會(huì)模擬出一個(gè)近似于windows的系統(tǒng)����,殺軟將軟件放入這個(gè)虛擬機(jī)運(yùn)行,監(jiān)測(cè)它的行為�,如果操作越可疑,就越容易被定為病毒
HIPS
HIPS可以說是主動(dòng)防御����,何為主動(dòng)防御,一個(gè)病毒或木馬如果通過了表面查殺�����,那么主動(dòng)防御就是最后一道防線,HIPS主要是對(duì)一個(gè)軟件運(yùn)行時(shí)的操作進(jìn)行檢測(cè)����,如果發(fā)現(xiàn)軟件有注冊(cè)表操作,加載驅(qū)動(dòng)這些一般程序不應(yīng)操作的操作時(shí)��,那么他就會(huì)以他R0級(jí)的優(yōu)勢(shì)���,攔截掉并將程序暫停運(yùn)行�����,也就是掛起����,詢問用戶是否進(jìn)行該操作�。
云查殺
殺軟那里有一套規(guī)則,如果一個(gè)軟件觸犯了這些規(guī)則�����,則殺軟會(huì)上報(bào)至云服務(wù)器��,到了云服務(wù)器后��,則會(huì)對(duì)上報(bào)文件進(jìn)行鑒定,可能會(huì)是人工鑒定�����,這樣的效果比殺軟查殺效果要好得多�����。那么如果分析出這個(gè)程序是病毒���,那么就會(huì)將這個(gè)程序的MD5發(fā)生至云中心,用戶在聯(lián)網(wǎng)狀態(tài)下殺毒的話��,就與云中心核對(duì)MD5���,如果對(duì)上了��,無(wú)條件認(rèn)定為病毒���。相當(dāng)于安裝了殺軟的所有用戶給云上提供素材,一旦素材在一臺(tái)電腦上被認(rèn)定為病毒���,則所有安裝了該殺軟的用戶都會(huì)查殺這個(gè)素材
免殺中的術(shù)語(yǔ)
API
泛指Windows的API函數(shù)�����,Windows編程中的內(nèi)容����。Windows API是一套用來(lái)控制Windows的各個(gè)部件的外觀和行為的預(yù)先定義的Windows函數(shù),對(duì)Windows系統(tǒng)中的東西進(jìn)行操作都會(huì)用到API�����,比如我移動(dòng)個(gè)鼠標(biāo)���,點(diǎn)擊個(gè)鍵盤都會(huì)有相對(duì)于的API函數(shù)
花指令
一段無(wú)意義的代碼�,用來(lái)迷惑殺軟或則其它的反匯編工具���,例如在匯編里:add eax, 1; sub eax, 1
就這種添加了代碼����,但對(duì)整體并無(wú)影響的代碼就是花指令�,當(dāng)然我這里只是簡(jiǎn)單的示范,真正的花指令沒有這么簡(jiǎn)單
輸入表(導(dǎo)入表)
輸入表就相當(dāng)于EXE文件與DLL文件溝通的鑰匙����,形象的可以比喻成兩個(gè)城市之間交流的高速公路���,所有的導(dǎo)入函數(shù)信息都會(huì)寫入輸入表中,在PE 文件映射到內(nèi)存后����,Windows 將相應(yīng)的DLL文件裝入,EXE 文件通過“輸入表”找到相應(yīng)的DLL 中的導(dǎo)入函數(shù)��,從而完成程序的正常運(yùn)行����,這一動(dòng)態(tài)連接的過程都是由“輸入表”參與的��。
區(qū)段
PE結(jié)構(gòu)中的區(qū)段��,.data .text等等����,保存代碼,數(shù)據(jù)等等
加殼
加殼分為加壓縮殼和保護(hù)殼〔加密殼〕壓縮殼是目的是使程序變小�����,但沒有防止被反破解的作用。保護(hù)殼恰恰相反��,保護(hù)殼的目的是使程序盡量防止被反匯編�����,但好的保護(hù)殼會(huì)給程序植入大量垃圾代碼��,以干擾破解版者����,所以程序會(huì)變大。
反啟發(fā)
即加入對(duì)殺軟的啟發(fā)式干擾的代碼
隱藏輸入表
通過自定義API的方式隱藏導(dǎo)入表中的惡意API
混淆
這是一種將代碼轉(zhuǎn)換為難以理解的形式的技術(shù)�,使得分析者難以從字節(jié)碼中理解程序的邏輯?��;煜梢詰?yīng)用于源代碼��、編譯后的代碼或二進(jìn)制文件
代碼注入
將惡意代碼注入到合法程序中���,使得惡意代碼在合法程序的執(zhí)行過程中被執(zhí)行,從而避開殺毒軟件的檢測(cè)�。
內(nèi)存執(zhí)行
惡意代碼不在磁盤上留下痕跡,而是直接在內(nèi)存中執(zhí)行���,這樣可以減少被殺毒軟件掃描到的機(jī)會(huì)
文件加密
將惡意文件加密存儲(chǔ)����,只有在執(zhí)行時(shí)才解密,這樣可以避免殺毒軟件通過文件內(nèi)容進(jìn)行檢測(cè)����。
多態(tài)
生成多個(gè)變種的惡意代碼,每種變種都有不同的特征����,使得殺毒軟件難以通過單一的特征碼來(lái)識(shí)別。
行為混淆
通過改變程序的行為模式���,使得惡意行為看起來(lái)像是正常行為����,從而避開基于行為分析的檢測(cè)
0day
利用操作系統(tǒng)或應(yīng)用程序的0day漏洞來(lái)執(zhí)行惡意代碼�,殺毒軟件無(wú)法檢測(cè)到
簽名
使用合法的數(shù)字證書簽名惡意軟件�,以欺騙用戶和殺毒軟件,使其看起來(lái)像是可信的軟件
沙箱逃逸
沙箱是一種檢測(cè)惡意軟件的環(huán)境��,它模擬了一個(gè)安全的執(zhí)行環(huán)境�����。沙箱逃逸技術(shù)是指惡意軟件能夠檢測(cè)到自己是否在沙箱中運(yùn)行,并在檢測(cè)到沙箱時(shí)改變行為����,以避免被檢測(cè)。
利用系統(tǒng)服務(wù)
通過操作系統(tǒng)服務(wù)來(lái)執(zhí)行惡意行為�����,因?yàn)橄到y(tǒng)服務(wù)通常具有較高的權(quán)限��,可以繞過一些安全措施
利用云服務(wù)
將惡意代碼或數(shù)據(jù)存儲(chǔ)在云服務(wù)上�����,通過云服務(wù)來(lái)分發(fā)或執(zhí)行惡意行為�����,這樣可以分散風(fēng)險(xiǎn)并增加檢測(cè)難度
殺軟報(bào)毒命名規(guī)則
殺毒軟件的報(bào)毒基本遵循一套原則�����,就是CARO原則����,由反病毒專家聯(lián)盟 CARO提出����,遵循以下格式:
<威脅類型>.<平臺(tái)>.<惡意軟件系列>.<變體>.<其他信息*>
卡巴斯基在此基礎(chǔ)上添加了前綴:
[前綴:]<威脅類型/行為>.<平臺(tái)>.<惡意軟件家族><.變體><其他信息>
前綴
該前綴標(biāo)識(shí)檢測(cè)到該對(duì)象的子系統(tǒng)����。
前綴HEUR:用于表示啟發(fā)式分析器檢測(cè)到的對(duì)象;
前綴PDM:用于表示主動(dòng)防御模塊檢測(cè)到的對(duì)象���。
前綴不是全名的必需部分�����,并且可能不存在��。
行為
威脅類型/行為代表主要威脅類別���,描述威脅的主要行為是什么
對(duì)于惡意軟件:Trojan(木馬)、Worm(蠕蟲)��、Virus(病毒)�����、Ransomware(勒索軟件)�����、Coinminer(挖礦) 和Backdoor(后門)是我們最常見的威脅類型����。
對(duì)于灰色軟件:Adware廣告軟件、Spyware間諜軟件和 PUA 是最常見的威脅類型���。
平臺(tái)
通常指win32���,x64,linux����,mac os
家族
用于表示一組具有相同來(lái)源(作者、源代碼)��、操作原理或有效負(fù)載的檢測(cè)到的對(duì)象�����。每個(gè)家族都是根據(jù)其表現(xiàn)的行為來(lái)命名的�。常見的就是:Generic�、Infector����、AntiAV、KillFiles等���。
變體
為了識(shí)別一個(gè)家族中不同惡意軟件的變體�,字母按順序使用并稱為變體���,從“.a”開始:“.a”-“.z”�、“.aa”-“.zz”等
報(bào)毒案例
HEUR:Worm.[Platform].Generic此分類涵蓋的對(duì)象在遠(yuǎn)程計(jì)算機(jī)上運(yùn)行搜索����,并嘗試將自身復(fù)制到讀/寫可訪問目錄、使用操作系統(tǒng)功能搜索可訪問網(wǎng)絡(luò)目錄和/或?qū)τ?jì)算機(jī)進(jìn)行隨機(jī)搜索�����。
[Platform] 字段可以是“Script”或“Win32”���。
HEUR:Virus.[Platform].Generic此分類涵蓋的對(duì)象會(huì)在受害計(jì)算機(jī)的本地資源上創(chuàng)建自身的副本�����。
[Platform] 字段可以是“Script”或“Win32”�����。
HEUR:Email-Worm.[Platform].Generic此分類涵蓋的對(duì)象嘗試以電子郵件附件的形式發(fā)送自身的副本�,或者作為位于網(wǎng)絡(luò)資源上的自身文件的鏈接�。
[Platform] 字段可以是“Script”或“Win32”。
HEUR:Virus.[Platform].Infector
此分類涵蓋的對(duì)象在計(jì)算機(jī)中搜索文件并將一系列信息寫入這些文件��。例如�����,這樣的對(duì)象可以將其主體寫入可執(zhí)行文件或?qū)懭氚赶蚓哂?.html���、.php���、.asp 和其他擴(kuò)展名的文件的鏈接的 HTML 代碼。
[Platform] 字段可以是“Script”或“Win32”�����。
PDM:Worm.Win32.Generic此分類涵蓋的對(duì)象搜索遠(yuǎn)程計(jì)算機(jī)網(wǎng)絡(luò)并嘗試將自身復(fù)制到讀/寫可訪問目錄�、使用操作系統(tǒng)功能搜索可訪問網(wǎng)絡(luò)目錄和/或?qū)τ?jì)算機(jī)進(jìn)行隨機(jī)搜索���。
轉(zhuǎn)自https://www.cnblogs.com/F12-blog/p/18362694
該文章在 2024/11/13 8:59:59 編輯過
400 186 1886
