一 目录
安全防御技术进化史
安全防御技术的对抗
静态特征码查杀
启发式查杀
云查杀
二 安全防御技术进化史
基于特征码的静态查杀
基于行为的启发式查杀
主动防御技术
基于虚拟机的启发式分析
基于云安全机制的防御技术
三 安全防御技术的对抗
静态特征码查杀
静态特征码免杀针对macafee、Avira、Nod32、trendmicro免杀
效果比较明显。
动态调用 API
① 特征码定位;
② GetProcAddress 获取API地址;
③ Call。
代码混淆技术
定位到被查杀的函数块,然后通过 API 乱序调用或者插入一些
正常其它API调用,如释放文件时采用单个字节循环写入。
底层API替代调用
当模块在进行特殊操作的时候被杀,可以采用调用底层的
API接口完成同样的功能,如使用CreateProcessInternalW创建
进程,NtQuerySystemInfomation获取系统信息,以及一些其它
的Native API。
Private protector
该方案为保守方案,使用自己开发的代码保护工具进行加壳
保护,仅能作为临时紧急解决方案。
启发式查杀
启发式查杀是虚拟机引擎和行为检测相结合,通过模拟执行
分析程序行为的安全检测技术。如何对抗?
Memory Load技术
自己在内存中完成对模块的载入、修复和调用。
Module Reload技术
当需要调用一些敏感模块的时候,可以采用在内存reload我们的目
标模块,然后动态查找EAT 完成函数调用。
启发检测。
Module Hijack & White list
利用受信任进程完成对目标模块的加载,对主动防御拥有比
较好的免杀效果。
① White list?系统进程;带数字签名进程;内置白名单。
② 可劫持模块,如lpk.dll、imm32.dll等。
实例分享:成功利用Module Hijack & White list机制绕过某
知名安全软件的主动防御。
被动式启动
① Hook explorer 进程某个 API
② 劫持用户常用软件。
功能模块分离
启发式分析一般都是针对目标进程的行为进行综合分析,如
果将多个行为在分离在多个进程中实现,将能成功绕过。
A
① 进程 中完成文件释放;
B
② 进程 中完成提权;
C
③ 进程 中完成安装。
Code inject
Code inject可以有两种意义上的注入,远程线程式注入和远
程进程式注入。
远程线程式注入可以注入到其它模块中,在其它用户受信任
进程中完成目标操作,如注入到explorer进程中完成文件释放和
复制等操作。
远程进程式注入其实就是傀儡进程,利用系统进程为进程载
体,然后注入我们的模块代码并运行。
正常软件行为模拟
① SHFileOperation完成文件操作;
② 添加UI 界面;
③ 加入弹框代码,如MessageBox调用。
实例分享:当触发Norton的sonar主动防御的时候,可以通过在
特定条件下添加对MessageBox的调用,而该条件永远不会被触
发。
云查杀
云安全机制是一种新兴的安全查杀机制,
不同的安全厂商的云安全查杀机制不一样。
基于云共享特征库扫描机制
360 安全卫士 QQ 电脑管家、 Etc &
基于主动防御 信誉云的扫描机制
Norton的snor+信誉云;
Kav的KSN+WOC。
云查杀特点
云查杀机制现在仍处于起步阶段;
本地查杀机制和云网络相结合;
集群服务器虚拟机动态跟踪分析;
上传样本,安全人员人工分析;
其它方式。
如何突破云?
云安全分析也是由一套安全厂商自定义规则形成的
安全查杀机制,可以从云查杀机制上进行过滤,突破云
查杀。
降低本地文件行为危险等级;
白名单机制;
文件体积膨胀;
最后附带详细结构方式图
