20145306 免杀原理与实践
1.对恶意代码的检测
-
基于特征码的检测:对一段或多段数据进行检测。如果一个可执行文件或其他运行的库、脚本等有该数据则被认为是恶意代码。AV软件厂商要做的就是尽量搜集最全的、最新的特征码库。所以杀毒软件的更新很重要。过时的特征码库就是没有用的库。
-
启发式恶意软件检测:通过恶意代码的一些特征去检测,加入对行为的的检测后称为加入了行为的启发式。
2.免杀技术
(1)改变特征码
(2)改变行为
(3)非常规方法
3.实验过程
利用msf生成可执行后门文件,用virscan扫描
结果有53%的杀软报毒。
编码后进行virscan扫描,理论上会降低报毒的概率,但实际上并没有多大效果
依然有51%的报毒。
进行六次编码后:
报毒概率依旧很高。
veil-evasion用python语言改写:
报毒概率将为25%。
使用shellcode半手工生成后门文件:
先生成shellcode数组
利用该数组生成一个程序,随后用virscan扫描,结果基本可以实现免杀。