• 浅谈杀软对抗技巧


     一 目录 

         安全防御技术进化史 

         安全防御技术的对抗 

               静态特征码查杀 

               启发式查杀 

               云查杀 

    二 安全防御技术进化史 

           基于特征码的静态查杀 

           基于行为的启发式查杀 

           主动防御技术 

           基于虚拟机的启发式分析 

           基于云安全机制的防御技术 

    三 安全防御技术的对抗 

        静态特征码查杀 

             静态特征码免杀针对macafee、Avira、Nod32、trendmicro免杀 

         效果比较明显。     

         动态调用 API

            ① 特征码定位; 

            ② GetProcAddress 获取API地址; 

            ③ Call。 

        代码混淆技术                                         

                定位到被查杀的函数块,然后通过 API 乱序调用或者插入一些 

         正常其它API调用,如释放文件时采用单个字节循环写入。     

       底层API替代调用 

             当模块在进行特殊操作的时候被杀,可以采用调用底层的 

       API接口完成同样的功能,如使用CreateProcessInternalW创建 

       进程,NtQuerySystemInfomation获取系统信息,以及一些其它 

       的Native API。 

      Private protector 

             该方案为保守方案,使用自己开发的代码保护工具进行加壳 

       保护,仅能作为临时紧急解决方案。 

       启发式查杀 

             启发式查杀是虚拟机引擎和行为检测相结合,通过模拟执行 

        分析程序行为的安全检测技术。如何对抗? 

          Memory Load技术 

                 自己在内存中完成对模块的载入、修复和调用。 

          Module Reload技术 

                 当需要调用一些敏感模块的时候,可以采用在内存reload我们的目                

           标模块,然后动态查找EAT 完成函数调用。 

           启发检测。 

      Module Hijack  & White list 

             利用受信任进程完成对目标模块的加载,对主动防御拥有比 

       较好的免杀效果。 

       ① White list?系统进程;带数字签名进程;内置白名单。 

       ② 可劫持模块,如lpk.dll、imm32.dll等。 

            实例分享:成功利用Module Hijack & White list机制绕过某 

            知名安全软件的主动防御。 

      被动式启动 

       ① Hook  explorer 进程某个  API                              

       ② 劫持用户常用软件。 

      功能模块分离 

             启发式分析一般都是针对目标进程的行为进行综合分析,如 

       果将多个行为在分离在多个进程中实现,将能成功绕过。 

                 A 

       ① 进程 中完成文件释放; 

                 B 

       ② 进程 中完成提权; 

                 C 

       ③ 进程 中完成安装。 

      Code inject 

             Code inject可以有两种意义上的注入,远程线程式注入和远 

       程进程式注入。 

             远程线程式注入可以注入到其它模块中,在其它用户受信任 

       进程中完成目标操作,如注入到explorer进程中完成文件释放和 

       复制等操作。 

             远程进程式注入其实就是傀儡进程,利用系统进程为进程载 

       体,然后注入我们的模块代码并运行。 

      正常软件行为模拟 

       ①  SHFileOperation完成文件操作;       

       ②  添加UI  界面; 

       ③ 加入弹框代码,如MessageBox调用。 

       实例分享:当触发Norton的sonar主动防御的时候,可以通过在 

       特定条件下添加对MessageBox的调用,而该条件永远不会被触 

       发。 

       云查杀 

                  云安全机制是一种新兴的安全查杀机制, 

           不同的安全厂商的云安全查杀机制不一样。 

          基于云共享特征库扫描机制 

              360 安全卫士  QQ 电脑管家、  Etc & 

          基于主动防御 信誉云的扫描机制 

              Norton的snor+信誉云; 

              Kav的KSN+WOC。 

       云查杀特点 

             云查杀机制现在仍处于起步阶段; 

             本地查杀机制和云网络相结合; 

             集群服务器虚拟机动态跟踪分析; 

             上传样本,安全人员人工分析; 

             其它方式。 

       如何突破云? 

                 云安全分析也是由一套安全厂商自定义规则形成的 

           安全查杀机制,可以从云查杀机制上进行过滤,突破云 

           查杀。 

          降低本地文件行为危险等级; 

          白名单机制; 

          文件体积膨胀; 

       最后附带详细结构方式图    

     

  • 相关阅读:
    337粘贴与选择性粘贴
    Excel VBA定制开发如何将数据重复指定次数听语音
    317、单元格的Offset
    Shape.Type属性名称及对应值列表
    Mysql解决The total number of locks exceeds the lock table size错误
    python QT5 tableview 用法1
    python qt5 菜单栏一级菜单响应单击事件
    自定义类加载器
    SpringCloudConfig与Nacos多个领域配置的不同
    多线程工具ForkJoinPool
  • 原文地址:https://www.cnblogs.com/microzone/p/3410321.html
Copyright © 2020-2023  润新知