在前幾篇文章中,我們討論了特徵碼定位的方法,這種方法對於特徵碼引擎來說幾乎是通殺的。既然定位完畢了,自然就要討論一下修改的辦法了!
筆者在這裡將這些方法列為一張**:
特徵碼修改方法
簡單示例
原理適用範圍
等價替代法
add eax, 5,改為sub eax, -5
指令功能的相似性
彙編指令
通用跳轉法
不好演示
jmp到乙個空白處,再修改空白處指令jmp回來
通用位移法
一條指令後移n位,空出來的位置填充nop
位置變了,功能不變
後面有nop的指令
填充法直接全覆蓋00
不重要的資料,直接填充沒影響
不重要資料(此方法侷限性大)
大小寫替換法
a.exe改為a.exe
字串有時改大小寫不敏感
某些字串
加一減一法
資料直接加1或減1
數值、字元之類的資料,這樣修改影響不大
不敏感的資料
其實這**看看就好,實際免殺中,還是分析了實際情況之後,想辦法靈活地修改。方法肯定不能侷限,可能有很多很多方法還沒被總結出來。修改的原則就是: 「盡量保證程式功能不變」。
這一篇筆者覺得不必細講,難度也不大,多測試下就ok了。大家可以自己動手試試,我們下篇見!
防毒與免殺技術詳解之一 介紹
國內防毒和惡意軟體的發展階段 1988年 1995年 中國發現早期病毒,隨之出現了 第一代反病毒引擎 簡單特徵碼引擎,為以後技術的發展奠定了基礎 1996年 1998年 瑞星 金山 江民等殺軟佔據市場。江民公司創造了 廣譜特徵碼技術,將一些通用的特徵提取出來進行對比,使查殺效率大幅提公升。同時也出現...
《黑客免殺攻防學習筆記》 免殺與特徵碼
1.特徵碼免殺技術 這裡主要是用到分割法,就是將乙份病毒檔案分割成多份讓反病毒軟體掃瞄,然後再將掃瞄出有問題的那份檔案再次分割,直到分割到長度適合為止。如下圖所示 若是獲得合適的檔案之後,再將這份檔案進行相應的處理,比如可以新增一些花指令等 混淆技術。因為許多防毒軟體進行查殺都是直接特徵碼或是校驗和...
20145309《網路對抗技術》免殺原理與實踐
20145309 網路對抗技術 免殺原理與實踐 1.基礎問題回答 1 殺軟是如何檢測出惡意 的?根據特徵來檢測 對已存在的流行 特徵的提取與比對 根據行為來檢測 是否有更改登錄檔行為 是否有設定自啟動 是否有修改許可權等等 2 免殺是做什麼?使用一些方法使得惡意程式不被殺軟和防火牆發現,避免被查殺。...