免殺技術(shù) 全稱為反殺毒技術(shù)Anti Anti- Virus簡(jiǎn)稱“免殺”,它指的是一種能使病毒木馬免于被殺毒軟件查殺的技術(shù),說(shuō)通俗一點(diǎn)就是給病毒木馬文件做整容手術(shù)讓殺毒軟件來(lái)混淆殺毒軟件的查實(shí)從而達(dá)到免殺的目的,免殺的方式多種多樣今天小編就帶大家來(lái)探秘關(guān)于黑客眼中的免殺!
一、早期(2008年-2013年)的免殺其實(shí)還是很簡(jiǎn)單的通過(guò)對(duì)病毒木馬進(jìn)行加殼,壓縮,加密、替換木馬資源等方式就能直接對(duì)木馬文件進(jìn)行簡(jiǎn)單整容,讓殺毒軟件無(wú)法對(duì)木馬文件進(jìn)行識(shí)別從而達(dá)到免殺。那會(huì)兒由于殺毒機(jī)制并不完善很多簡(jiǎn)單的木馬病毒通過(guò)簡(jiǎn)單的加殼,加密,upx壓縮就可以達(dá)到木馬的免殺,那會(huì)兒有著“簡(jiǎn)單一壓,木馬行天下”的說(shuō)法。
upx壓縮軟件
二、中期(2014年-2017年)的木馬免殺隨著殺毒軟件的不斷完善,病毒庫(kù)特征碼的不斷累積,免殺技術(shù)進(jìn)入了一個(gè)新的階段 源碼免殺,源碼免殺通過(guò)myccl等查殺定位工具找到木馬文件中存在的特征碼區(qū)域,通過(guò)c32sam等反匯編工具查找報(bào)毒區(qū)域是屬于字符查殺還是函數(shù)查殺再通過(guò)再源碼中尋找查殺的位置對(duì)源代碼進(jìn)行加花(寫入一些廢話代碼,列如sleep(0)延時(shí)0秒)、函數(shù)調(diào)用(改變?cè)械暮瘮?shù)名稱,但不改變功能)等處理方式躲避殺毒軟件的查殺,當(dāng)然還有許多高級(jí)的源碼免殺方式列如內(nèi)存加載等。
源碼免殺中找特征碼
三、當(dāng)前(2018年-至今)當(dāng)前殺毒軟件的不斷加強(qiáng)導(dǎo)致傳統(tǒng)的整容免殺、源碼免殺難度頗高這會(huì)兒的殺毒軟件由特征碼查殺+行為查殺,導(dǎo)致傳統(tǒng)方式做出來(lái)的免殺再掃描的時(shí)候不會(huì)報(bào)毒,但運(yùn)行的一瞬間就報(bào)毒了,這時(shí)新的免殺方式就延伸出來(lái)了 白加黑木馬免殺,什么是白加黑呢?所謂的“白加黑”,籠統(tǒng)來(lái)說(shuō)是“白exe”加“黑dll”,“白exe”是指帶有數(shù)字簽名的正常exe文件(列如迅雷等正常的軟件),那么“黑dll”當(dāng)然是指包含惡意代碼的dll文件。病毒借助那些帶數(shù)字簽名且在殺毒軟件白名單內(nèi)的exe程序去加載自己帶有惡意代碼的dll,便能獲得殺毒軟件主動(dòng)防御的自動(dòng)信任,從而成功加載到系統(tǒng)中。
含數(shù)字簽名的白文件
運(yùn)行時(shí)會(huì)調(diào)用dll文件,這個(gè)dll劫持并重新編寫后達(dá)到啟動(dòng)病毒的目的
在日新月異的信息時(shí)代中無(wú)時(shí)無(wú)刻都會(huì)有新的病毒木馬產(chǎn)生,保持良好的上網(wǎng)習(xí)慣是防止中毒的有效途徑,不瀏覽不健康的網(wǎng)站,不點(diǎn)擊陌生人發(fā)送的連接,不使用外掛等作弊軟件,保持殺毒軟件病毒庫(kù)的更新就能很大程度避免中毒的可能,下期給大家介紹,黑客眼中的“抓雞”是什么,有哪些方式。
(本文僅代表小編個(gè)人觀點(diǎn),如有不足請(qǐng)大家批評(píng)指正)
