免杀技术
免杀技术全称为反杀毒技术Anti Anti- Virus简称“免杀”,它指的是一种能使病毒木马免于被杀毒软件查杀的技术。由于免杀技术的涉猎面非常广,其中包含反汇编、逆向工程、系统漏洞等黑客技术,所以难度很高,一般人不会或没能力接触这技术的深层内容。其内容基本上都是修改病毒、木马的内容改变特征码,从而躲避了杀毒软件的查杀。[1] 分类
技术概览加壳脱壳与加密解密
加花指令与程序入口点修改
例: (汇编语言) mov ebp,esp
push ebp ;把基址指针寄存器压入堆栈
pop ebp ;把基址指针寄存器弹出堆栈
push eax ;把数据寄存器压入堆栈
pop eax ;把数据寄存器弹出堆栈
nop ;不执行
add esp,1 ;指针寄存器加1
sub esp,1 ;指针寄存器减1
inc ecx ;计数器加1
dec ecx ;计数器减1
sub esp,1 ;指针寄存器加1
sub esp,-1 ;指针寄存器加-1
push 321BA ;跳到内存入口地址321BA
retn ;反回到入口地址
jb 456CD ;跳到内存入口地址456CD
jnb 321BA ;跳到内存入口地址321BA
mov eax,456CD ;跳到内存入口地址456CD
jmp eax ;跳到程序入口地址
jmp 321BA ;跳到程序入口地址321BA
push 123AB ;把入口地址123AB压入堆栈
mov eax,123AB ;把入口地址123AB转送到数据寄存器中。
jmp 123AB ;跳到入口地址123AB(程序执行数据的真正入口点)
内存、文件特征码的定位与修改众所周知大部分杀毒软件查杀病毒的根据就是对比特征码,而这个过程一般发生在内存与硬盘中。对比硬盘中储存着的文件的特征码,能全面地查杀计算机中的可疑文件;对比在内存中储存着的文件的特征码,能快速地查杀正在运行的程序是否带有病毒,另外病毒文件一旦进入内存即运行中,很可能会现出原形被杀毒软件查杀。针对杀毒软件这一特性,骇客们发明了内存、文件特征码修改免杀法。通常首先用特征码定位软件定位文件特征码的所在之处,再用UltraEdit对被定位的特征码段进行修改。 一般修改方法有:
修改特征码的方法针对性很强很有用,但一次修改只能对一款杀毒软件免杀;要令另一款软件免杀,就要重新针对该软件修改特征码,因为各家杀毒软件公司使用的特征码基本上都不相同。 文件植入与捆绑免杀工具常用工具有[2]:
注释
外部链接 |
Index:
pl ar de en es fr it arz nl ja pt ceb sv uk vi war zh ru af ast az bg zh-min-nan bn be ca cs cy da et el eo eu fa gl ko hi hr id he ka la lv lt hu mk ms min no nn ce uz kk ro simple sk sl sr sh fi ta tt th tg azb tr ur zh-yue hy my ace als am an hyw ban bjn map-bms ba be-tarask bcl bpy bar bs br cv nv eml hif fo fy ga gd gu hak ha hsb io ig ilo ia ie os is jv kn ht ku ckb ky mrj lb lij li lmo mai mg ml zh-classical mr xmf mzn cdo mn nap new ne frr oc mhr or as pa pnb ps pms nds crh qu sa sah sco sq scn si sd szl su sw tl shn te bug vec vo wa wuu yi yo diq bat-smg zu lad kbd ang smn ab roa-rup frp arc gn av ay bh bi bo bxr cbk-zam co za dag ary se pdc dv dsb myv ext fur gv gag inh ki glk gan guw xal haw rw kbp pam csb kw km kv koi kg gom ks gcr lo lbe ltg lez nia ln jbo lg mt mi tw mwl mdf mnw nqo fj nah na nds-nl nrm nov om pi pag pap pfl pcd krc kaa ksh rm rue sm sat sc trv stq nso sn cu so srn kab roa-tara tet tpi to chr tum tk tyv udm ug vep fiu-vro vls wo xh zea ty ak bm ch ny ee ff got iu ik kl mad cr pih ami pwn pnt dz rmy rn sg st tn ss ti din chy ts kcg ve
Portal di Ensiklopedia Dunia