目录

​免杀​

​免杀技术发展史​

​杀毒软件检测方式​

​扫描技术​

​监控技术​

​扫描引擎​

​特征码扫描​

​文件校验和法​

​进程行为监测法(沙盒模式)​

​主动防御技术​

​机器学习识别技术​

​程序木马的免杀​


免杀

免杀技术全称为反杀毒技术Anti Anti-Virus(AV)简称“反杀毒技术”,也就是免杀,它指的是一种能使病毒木马免于被杀毒软件查杀的技术。由于免杀技术的涉猎面非常广,其中包含反汇编、逆向工程、系统漏洞等黑客技术。其内容基本上都是修改病毒、木马的内容改变特征码,从而躲避了杀毒软件的查杀。

在实际的渗透过程中,目标机器上一般会有杀毒软件。如Windows Defender、360安全卫士、腾讯电脑管家、卡巴斯基等,并且还会装有各种WAF(安全狗、D盾等)。我们的木马只要一上传到目标机器,就会被杀毒软件给查杀了。所以,木马免杀就是我们需要考虑的一个问题了。包括web端脚本木马的免杀,系统端程序木马的免杀。

免杀技术发展史

理论上讲,免杀一定是出现在杀毒软件之后的。而通过杀毒软件的发展史不难知道,第一款杀毒软件kill 1.0是Wish公司1987年推出的,也就是说免杀技术至少是在1987年以后才发展起来的。关于免杀技术的历史信息已无从考证,但从国内来讲,免杀技术的起步可以说是非常晚了。

1989年:第一款杀毒软件Mcafee诞生,标志着反病毒与反查杀时代的到来。

1997年:国内出现了第一个可以自动变异的千面人病毒(Polymorphic/Mutation Virus)。自动变异就是病毒针对杀毒软件的免杀方法之一,但是与免杀手法的定义有出入。

2002年7月31日:国内第一个真正意义上的变种病毒“中国黑客II”出现,它除了具有新的特征之外,还实现了“中国黑客”第一代所未实现的功能,可见这个变种也是病毒编写者自己制造的。

2004年:在黑客圈子内部,免杀技术是由黑客动画吧在这一年首先公开提出,由于当时还没有CLL等专用免杀工具,所以一般都使用WinHEX逐字节更改。

2005年1月:大名鼎鼎的免杀工具CCL的软件作者tankaiha在杂志上发表了一篇文章,藉此推广了CCL,从此国内黑客界才有了自己第一个专门用于免杀的工具。

2005年2月-7月:通过各方面有意或无意的宣传,黑客爱好者们开始逐渐重视免杀,在类似于免杀技术界的祖师爷黑吧安全网的浩天老师带领下一批黑客开始有越来越多的讨论免杀技术,这为以后木马免杀的火爆埋下根基。

2005年08月:第一个可查的关于免杀的动画由黑吧的浩天老师完成,为大量黑客爱好者提供了一个有效的参考,成功地对免杀技术进行了第一次科普。

2005年09月:免杀技术开始真正的火起来。

由上面的信息可见,国内在1997年出现了第一个可以自动变异的千面人病毒,虽然自动变异也可以看为是针对杀毒软件的一种免杀方法,但是由于与免杀手法的定义有出入,所以如果将国内免杀技术起源定位1997年会显得比较牵强。

一直等到2002年7月31日,国内第一个真正意义上的变种病毒“中国黑客II”才迟迟出现,因此我们暂且可以将国内免杀技术的起源定位在2002年7月。

杀毒软件检测方式

扫描技术

1、扫描压缩包技术:即是对压缩包案和封装文件作分析检查的技术。

2、程序窜改防护:即是避免恶意程序借由删除杀毒侦测程序而大肆破坏电脑。

3、修复技术:即是对恶意程序所损坏的文件进行还原

4、急救盘杀毒:利用空白U盘制作急救启动盘,来检测电脑病毒。

5、智能扫描:扫描最常用的磁盘,系统关键位置,耗时较短。

6、全盘扫描:扫描电脑全部磁盘,耗时较长。

7、勒索软件防护:保护电脑中的文件不被黑客恶意加密。

8、开机扫描:当电脑开机时自动进行扫描,可以扫描压缩文档和可能不需要的程序

监控技术

1、内存监控:当发现内存中存在病毒的时候,就会主动报警;监控所有进程;监控读取到内存中的文件;监控读取到内存的网络数据。

2、文件监控:当发现写到磁盘上的文件中存在病毒,或者是被病毒感染,就会主动报警。

3、邮件监控:当发现电子邮件的附件存在病毒时进行拦截。

4、网页防护:阻止网络攻击和不安全下载。

5、行为防护:提醒用户可疑的应用程序行为。

扫描引擎

特征码扫描

机制:将扫描信息与病毒数据库(即所谓的“病毒特征库”)进行对照,如果信息与其中的任何一个病毒特征符合,杀毒软件就会判断此文件被病毒感染。杀毒软件在进行查杀的时候,会挑选文件内部的一段或者几段代码来作为他识别病毒的方式,这种代码就叫做病毒的特征码;在病毒样本中,抽取特征代码;抽取的代码比较特殊,不大可能与普通正常程序代码吻合;抽取的代码要有适当长度,一方面维持特征代码的唯一性,另一方面保证病毒扫描时候不要有太大的空间与时间的开销。

特征码类别:

  • 文件特征码:对付病毒在文件中的存在方式:单一文件特征码、复合文件特征码(通过多处特征进行判断)
  • 内存特征码:对付病毒在内存中的存在方式:单一内存特征码、复合内存特征码

优点:速度快,配备高性能的扫描引擎;准确率相对比较高,误杀操作相对较少;很少需要用户参与。

缺点:采用病毒特征代码法的检测工具,面对不断出现的新病毒,必须不断更新病毒库的版本,否则检测工具便会老化,逐渐失去实用价值;病毒特征代码法对从未见过的新病毒,无法知道其特征代码,因而无法去检测新病毒;病毒特征码如果没有经过充分的检验,可能会出现误报,数据误删,系统破坏,给用户带来麻烦。

文件校验和法

对文件进行扫描后,可以将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存;在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染病毒。

进程行为监测法(沙盒模式)

机制:通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊,在正常程序中,这些行为比较罕见。当程序运行时,监视其进程的各种行为,如果发现了病毒行为,立即报警。

优缺点:

  • 优点:可发现未知病毒、可相当准确地预报未知的多数病毒;
  • 缺点:可能误报警、不能识别病毒名称、有一定实现难度、需要更多的用户参与判断;

主动防御技术

主动防御并不需要病毒特征码支持,只要杀毒软件能分析并扫描到目标程序的行为,并根据预先设定的规则,判定是否应该进行清除操作,主动防御本来想领先于病毒,让杀毒软件自己变成安全工程师来分析病毒,从而达到以不变应万变的境界。但是,计算机的智能总是在一系列的规则下诞生,而普通用户的技术水平达不到专业分析病毒的水平,两者之间的博弈将主动防御推上一个尴尬境地。

机器学习识别技术

机器学习识别技术既可以做静态样本的二进制分析,又可以运用在沙箱动态行为分析当中,是内容/行为+算法模式。伴随着深度学习的急速发展,各家厂商也开始尝试运用深度学习技术来识别病毒特征,如瀚思科技的基于深度学习的二进制恶意样本检测。

程序木马的免杀

程序木马一般指的是Windows系统下的exe木马,通过执行程序反弹一个MSF或CS的shell。MSF和CS默认生成的木马会被杀毒软件查杀。所以,这就需要对它们生成的木马进行免杀处理了。

木马免杀常见有三种:

  • 源码免杀
  • 二进制免杀
  • 加载器免杀