源码免杀实战

攻防技术——源码免杀实战_免杀

#1 看一下今天的马子

  • Gh0st 改良版
    攻防技术——源码免杀实战_杀软_02攻防技术——源码免杀实战_杀软_03

  • 开始搞事

  1. 免杀原理
    病毒样本 内存地址/段 分析师定位

  • 原始特征码
    01-----> a
    02-----> b
    03-----> c (异常/病毒)
    04-----> d
    05-----> e

    01-----> a
    02-----> b

    0201 ----->b1 (新加入)

    03-----> c (异常/病毒)
    04-----> d
    05-----> e

    • 高启发 杀软分析模块–虚拟引擎 二进制判断

      eg:云引擎 小红伞

      行为:
      写入重启启动项 (注册表)
      进行联网操作
      存在攻击代码
      异常字符串

加入误导代码 引导检测程序 走进误区 绕过判断

·0004000
攻防技术——源码免杀实战_免杀_04
·操作写一个干扰加法判断
攻防技术——源码免杀实战_杀软_05

  • 杀软定位字符串
    · nop填充 无效