一 目录 

     安全防御技术进化史 

     安全防御技术的对抗 

           静态特征码查杀 

           启发式查杀 

           云查杀 

二 安全防御技术进化史 

       基于特征码的静态查杀 

       基于行为的启发式查杀 

       主动防御技术 

       基于虚拟机的启发式分析 

       基于云安全机制的防御技术 

三 安全防御技术的对抗 

    静态特征码查杀 

         静态特征码免杀针对macafee、Avira、Nod32、trendmicro免杀 

     效果比较明显。     

     动态调用 API

        ① 特征码定位; 

        ② GetProcAddress 获取API地址; 

        ③ Call。 

    代码混淆技术                                         

            定位到被查杀的函数块,然后通过 API 乱序调用或者插入一些 

     正常其它API调用,如释放文件时采用单个字节循环写入。     

   底层API替代调用 

         当模块在进行特殊操作的时候被杀,可以采用调用底层的 

   API接口完成同样的功能,如使用CreateProcessInternalW创建 

   进程,NtQuerySystemInfomation获取系统信息,以及一些其它 

   的Native API。 

  Private protector 

         该方案为保守方案,使用自己开发的代码保护工具进行加壳 

   保护,仅能作为临时紧急解决方案。 

   启发式查杀 

         启发式查杀是虚拟机引擎和行为检测相结合,通过模拟执行 

    分析程序行为的安全检测技术。如何对抗? 

      Memory Load技术 

             自己在内存中完成对模块的载入、修复和调用。 

      Module Reload技术 

             当需要调用一些敏感模块的时候,可以采用在内存reload我们的目                

       标模块,然后动态查找EAT 完成函数调用。 

       启发检测。 

  Module Hijack  & White list 

         利用受信任进程完成对目标模块的加载,对主动防御拥有比 

   较好的免杀效果。 

   ① White list?系统进程;带数字签名进程;内置白名单。 

   ② 可劫持模块,如lpk.dll、imm32.dll等。 

        实例分享:成功利用Module Hijack & White list机制绕过某 

        知名安全软件的主动防御。 

  被动式启动 

   ① Hook  explorer 进程某个  API                              

   ② 劫持用户常用软件。 

  功能模块分离 

         启发式分析一般都是针对目标进程的行为进行综合分析,如 

   果将多个行为在分离在多个进程中实现,将能成功绕过。 

             A 

   ① 进程 中完成文件释放; 

             B 

   ② 进程 中完成提权; 

             C 

   ③ 进程 中完成安装。 

  Code inject 

         Code inject可以有两种意义上的注入,远程线程式注入和远 

   程进程式注入。 

         远程线程式注入可以注入到其它模块中,在其它用户受信任 

   进程中完成目标操作,如注入到explorer进程中完成文件释放和 

   复制等操作。 

         远程进程式注入其实就是傀儡进程,利用系统进程为进程载 

   体,然后注入我们的模块代码并运行。 

  正常软件行为模拟 

   ①  SHFileOperation完成文件操作;       

   ②  添加UI  界面; 

   ③ 加入弹框代码,如MessageBox调用。 

   实例分享:当触发Norton的sonar主动防御的时候,可以通过在 

   特定条件下添加对MessageBox的调用,而该条件永远不会被触 

   发。 

   云查杀 

              云安全机制是一种新兴的安全查杀机制, 

       不同的安全厂商的云安全查杀机制不一样。 

      基于云共享特征库扫描机制 

          360 安全卫士  QQ 电脑管家、  Etc & 

      基于主动防御 信誉云的扫描机制 

          Norton的snor+信誉云; 

          Kav的KSN+WOC。 

   云查杀特点 

         云查杀机制现在仍处于起步阶段; 

         本地查杀机制和云网络相结合; 

         集群服务器虚拟机动态跟踪分析; 

         上传样本,安全人员人工分析; 

         其它方式。 

   如何突破云? 

             云安全分析也是由一套安全厂商自定义规则形成的 

       安全查杀机制,可以从云查杀机制上进行过滤,突破云 

       查杀。 

      降低本地文件行为危险等级; 

      白名单机制; 

      文件体积膨胀; 

   最后附带详细结构方式图    

 

posted on 2013-11-06 12:58  5t4rk  阅读(1033)  评论(2编辑  收藏  举报