20145306张文锦

  博客园  :: 首页  :: 新随笔  :: 联系 :: 订阅 订阅  :: 管理

20145306 免杀原理与实践

1.对恶意代码的检测

  •   基于特征码的检测:对一段或多段数据进行检测。如果一个可执行文件或其他运行的库、脚本等有该数据则被认为是恶意代码。AV软件厂商要做的就是尽量搜集最全的、最新的特征码库。所以杀毒软件的更新很重要。过时的特征码库就是没有用的库。

  •  启发式恶意软件检测:通过恶意代码的一些特征去检测,加入对行为的的检测后称为加入了行为的启发式。

2.免杀技术

(1)改变特征码

(2)改变行为

(3)非常规方法

3.实验过程

 利用msf生成可执行后门文件,用virscan扫描

结果有53%的杀软报毒。

 

编码后进行virscan扫描,理论上会降低报毒的概率,但实际上并没有多大效果

 

依然有51%的报毒。

 

进行六次编码后:

报毒概率依旧很高。

 

veil-evasion用python语言改写:

报毒概率将为25%。

 

使用shellcode半手工生成后门文件:

先生成shellcode数组

利用该数组生成一个程序,随后用virscan扫描,结果基本可以实现免杀。

 

posted on 2017-03-26 10:47  20145306张文锦  阅读(120)  评论(0编辑  收藏  举报