最新免杀技术?

[版块活动] 免杀技术大全
oooooooo_bao
ZXid: 10709805
等级:禁止发言
From:山东省淄博市 网通
发帖: 472
DB: 40 刀
威望: 160 点
原创积分:0
在线时间:97(小时)
注册时间:2010-02-09
最后登录:2011-02-24
发表于 2010-02-22 14:23 免杀技术大全
相关文章:
“免杀”,顾名思义就是逃避杀毒软件的查杀,目前用得比较多的免杀方法有加壳、修改特征码和加花指令三种,通常黑客们会针对不同的情况来运用不同的免杀方法。一位不愿意透露姓名的资深黑客,向记者详细介绍了最为流行的“病毒免杀”技术。
  “想要了解病毒免杀技术的原理,首先要了解杀毒软件的工作方式。杀毒软件的工作方式一般是特征码匹配杀毒,通过分析病毒的特征码来判断病毒。而病毒只有能够逃避过杀毒软件的查杀,才能顺利实现其入侵系统、盗取用户私密信息的目的,‘免杀’病毒则应运而生。”
免杀技术之一:加花指令
  加花是病毒免杀常用的手段,加花的原理就是通过添加加花指令(一些垃圾指令,类型加1减1之类的无用语句)让杀毒软件检测不到特征码,干扰杀毒软件正常的检测。加花以后,一些杀毒软件就检测不出来了,但是有些比较强的杀毒软件,像江民杀毒软件,病毒还是会被杀的。这可以算是“免杀”技术中最初级的阶段。
免杀技术之二:加壳
  举例来说,如果说程序是一张烙饼,那壳就是包装袋,可以让你发现不了包装袋里的东西是什么。比较常见的壳一般容易被杀毒软件识别,所以加壳有时候会使用到生僻壳,就是不常用的壳。现在去买口香糖你会发现至少有两层包装,所以壳也可以加多重壳,让杀毒软件看不懂。如果你看到一个袋子上面写着干燥剂、有毒之类的字你也许就不会对他感兴趣了吧,这就是伪装壳,把一种壳伪装成其他壳,干扰杀毒软件正常的检测。
免杀技术之三:修改特征码
  病毒加壳虽然可以逃过一些杀毒软件的查杀,但是却逃不过杀毒软件的内存杀毒,不过可以定位内存特征码,再修改即可过内存查杀。因此修改特征码成为逃避杀毒软件内存查杀的唯一办法。举例来说,如果程序是一张烙饼,那特征码就像上面的芝麻,每一张饼上面的芝麻位置是不同的,所以每个程序包括病毒特定位置上面的字符也是不同,这粒用来识别是不是病毒的“芝麻”就是特征码。要修改特征码,就要先定位杀毒软件的病毒库所定位的特征码,这个有一定难度,需要有经验的黑客才能做到。但是现在网络上有很多现成的工具可以定位出特征码,黑客们只需简单的修改就可以完成“免杀病毒”的制作了。不过修改特征码也不是那么的容易的,最好会汇编语言,那样修改特征码会相对的简单。
  面对不断翻新的病毒“免杀”技术,传统杀毒软件特征码查杀技术就表现得相对滞后,而如何有效地防杀“免杀病毒”成为摆在杀毒软件厂商面前的最大问题
分享&收藏本文
oooooooo_bao
ZXid: 10709805
等级:禁止发言
From:山东省淄博市 网通
发帖: 472
DB: 40 刀
威望: 160 点
原创积分:0
在线时间:97(小时)
注册时间:2010-02-09
最后登录:2011-02-24
发表于 2010-02-22 14:24 本人唯一QQ 838913090 不懂得 想学黑客技术的 +QQ即可~ Copyright (C) 2002-2011 houdao.com, All Rights Reserved. 版权所有 猴岛游戏网 未经授权禁止转载、摘编、复制或建立镜像
联系***:18628101503 | ***邮箱:service@xigu.com | ***QQ:1791279470 | 商务QQ:7834720
成都网监备51011099227-00001号 增值电信业务经营许可证:川B2-20110013 蜀ICP备11005180号-1
Powered by PhPWind Total 0.036403(s) query 5, Time now is:07-27 19:30, Gzip enabled2011-05-02 17:06
免杀技术
“免杀”,顾名思义就是逃避杀毒软件的查杀,目前用得比较多的免杀方法有加壳、修改特征码和加花指令三种,通常黑客们会针对不同的情况来运用不同的免杀方法。
基本情况  近日,由江民科技发布的“2007年黑客行为分析”最新调查数据显示,2007年黑客行为呈明显上升趋势,有近四成以上的黑客正在研究“免杀病毒”技术,研制“免杀病毒”和在互联网交流“免杀技术”已经成为黑客们最为热衷、追捧的行为。
  “想要了解病毒免杀技术的原理,首先要了解杀毒软件的工作方式。杀毒软件的工作方式一般是特征码匹配杀毒,通过分析病毒的特征码来判断病毒。而病毒只有能够逃避过杀毒软件的查杀,才能顺利实现其入侵系统、盗取用户私密信息的目的,‘免杀’病毒则应运而生。”
免杀技术之一:加花指令  加花是病毒免杀常用的手段,加花的原理就是通过添加加花指令(一些垃圾指令,类型加1减1之类的无用语句)让杀毒软件检测不到特征码,干扰杀毒软件正常的检测。加花以后,一些杀毒软件就检测不出来了,但是有些比较强的杀毒软件,像360杀毒软件,病毒还是会被杀的。这可以算是“免杀”技术中最初级.
免杀技术之二:加壳  举例来说,如果说程序是一张烙饼,那壳就是包装袋,可以让你发现不了包装袋里的东西是什么。比较常见的壳一般容易被杀毒软件识别,所以加壳有时候会使用到生僻壳,就是不常用的壳。现在去买口香糖你会发现至少有两层包装,所以壳也可以加多重壳,让杀毒软件看不懂。如果你看到一个袋子上面写着干燥剂、有毒之类的字你也许就不会对他感兴趣了吧,这就是伪装壳,把一种壳伪装成其他壳,干扰杀毒软件正常的检测。
免杀技术之三:修改特征码  病毒加壳虽然可以逃过一些杀毒软件的查杀,但是却逃不过杀毒软件的内存杀毒,不过可以定位内存特征码,再修改即可过内存查杀。因此修改特征码成为逃避杀毒软件内存查杀的唯一办法。举例来说,如果程序是一张烙饼,那特征码就像上面的芝麻,每一张饼上面的芝麻位置是不同的,所以每个程序包括病毒特定位置上面的字符也是不同,这粒用来识别是不是病毒的“芝麻”就是特征码。要修改特征码,就要先定位杀毒软件的病毒库所定位的特征码,这个有一定难度,需要有经验的黑客才能做到。但是现在网络上有很多现成的工具可以定位出特征码,黑客们只需简单的修改就可以完成“免杀病毒”的制作了。不过修改特征码也不是那么的容易的,最好会汇编语言,那样修改特征码会相对的简单。
  面对不断翻新的病毒“免杀”技术,传统杀毒软件特征码查杀技术就表现得相对滞后,而如何有效地防杀“免杀病毒”成为摆在杀毒软件厂商面前的最大问题。
          
360感谢有你!
2011-05-02 19:07
呵呵!免杀技术!来支持下!
360安全卫士是当前功能最强、效果最好、最受用户欢迎的上网必备安全软件。360安全卫士拥有查杀木马、清理插件、修复漏洞、电脑体检等多种功能,并独创了“木马防火墙”功能,依靠抢先侦测和云端鉴别,可全……
2011-05-03 01:59
学习中、支持了!
生命本是一个奇迹、不要再去贪婪的奢求更多的奇迹出现在你的生命中...
2011-05-03 12:40
免杀是一切杀毒软件的尴尬!
HIPS又很多人用不来
出了新病毒又该怎么办?
所以最有效的还是还原和手杀
卸下身上多余的武装,绝对是人生一大乐事
标题: 回复:
6 附件:
用户名:
留联系方式
密码: | | | | | | | Copyright2005-2011 360.CN All Rights Reserved 360安全中心
京公网安备110000000006号如今,谈马可谓色变。木马的确比常规病毒更狠,监控你的操作,吞噬你的隐私,破坏你的数据。我们***了最新的杀毒软件,每天进行补丁的更新,还有防火墙的时时保护,但——为什么还会中木马?   因为,有一种木马叫免杀!   首先提醒大家的是,免杀是个相对词,针对目前的技术而言,木马免杀成功率并不高(以多引擎检测为依据)。但用户***的安全软件相对单一,所以具有针对性的制作免杀木马,对于个人用户而言就是绝对的免杀。   接下来我们就看看黑客们是通过何种方法达到免杀目的的。   我们首先制作一个普通的灰鸽子木马服务端,然后在VirusTotal的多引擎系统中扫描,可以发现,绝大多数的杀毒引擎都能够识别出该木马程序。   免杀方法大体上分为加密代码、花指令、加壳、修改程序入口以及手工DIY PE。至于纯手工操作并不推荐,因为这种方法制作出的程序效果虽好,但太过复杂,需要很强的汇编语言基础,并对Windows内核有一定认识。   1.代码   MaskPE内含多种信息模块,可以方便的修改程序指令,打乱源代码,针对利用代码识别病毒的安全软件很有效果。Load File以后选择一种Information模式,最后Make File即可。   2.花指令   花指令就是一些汇编指令。原本用在Crack中,但目前更多的引入到木马修改上。这种方法使得杀毒软件不能正常的判断病毒文件的构造。对于采用文件头提取特征码的杀毒软件有特殊的杀伤力。   添加花指令方法可以采用调试工具,由于我们在后期还要加壳处理,实际上直接用超级花指令的方法修改就可以了,模块自行选择。   3.加壳   其实目前的加壳对于很多杀毒软件的防范用处并不大,不仅仅是由于杀毒软件自身识壳能力增强,更多的是加壳后对木马本身的伤害很大,尤其是有些木马的服务端默认已经作过加壳操作,如果进行二次加壳,很有可能造成程序启动异常。   流行的方法可以选择一些非常规壳:比如NsPack或者Private exe Protector。我们采用Private exe Protector对服务端进行处理。选择“保护并压缩资源”以及“反调试与跟踪”选项。   4.入口点   最后修改程序入口点,它的目的和加壳相似,就是让杀毒软件无法从黑客程序的入口点来获取源代码。修改方式可以使用FEPB、Ollydbg或者PEditor等。载入程序后找到“入口点”信息,接着在原来的数值的基础上加上个整数值后保存。   现在已经完成了免杀过程,再次进入VirusTotal扫描,发现能识别为病毒的杀毒引擎已经不多了。   几点提示:   1.免杀处理后的程序最好在虚拟机或者沙盘系统中测试一下,因为自动加密方式很有可能造成程序异常。如果出现异常,可以在操作过程中更换加密模块。   2.本文提到的方法对不同版本木马的修改结果不一致,请用户自行尝试。   3.任何免杀都不可能做到100%,所以我们防范免杀木马的最好办法就是***主动型防御软件。
上一篇:
下一篇:
文 章 搜 索
提供各类
,每天及时更新
病毒信息
杀毒软件
,用心打造
最专业的
黑客网站

参考资料

 

随机推荐