免杀技术(详细)
恶意软件
● 病毒、木马、蠕虫、键盘记录、僵尸程序、流氓软件、勒索软件、广告程序
● 在用户非资源的情况下执行安装
● 出于某种恶意的目的:控制、窃取、勒索、偷窥、推送、攻击。。。。。
恶意程序最重要的防护手段
● 杀毒软件 / 防病毒软件
● 客户端 / 服务器 / 邮件防病毒
检测原理
● 基于二进制文件中特征签名的黑名单检测方法
● 基于行为的分析方法(启发式)
事后手段
● 永远落后于病毒发展
修改二进制文件中的特征字符
● 替换、擦除、修改
加密技术(crypter)
● 通过加密使得特征字符不可读,从而逃避AV检测
● 运行时分片分段的解密执行,注入进程或AV不检查的无害文件中
防病毒软件的检测
● 恶意程序本身的特征字符
● 加密器crypter的特征字符
恶意软件编造者
● 编写私有RAT软件,避免普遍被AV所知的特征字符
● 使用独有crypter软件加密恶意程序
● 处事低调,尽量避免被发现
● 没有能力自己编写恶意代码的黑客,通过直接修改特征码的方式免杀
● Fully UnDetectable是最高追求(FUD)
AV厂商
● 广泛采集样本,尽快发现新出现的AV程序,更新病毒库
● 一般新的恶意软件安全UD窗口期是一周左右
● 与恶意软件制造者永无休止的拉锯战
● 新的启发式检测技术尚有待完善(误杀漏杀)
单一AV厂商的病毒库很难达到100%覆盖
https://www.virustotal.com/
○ 接口被某些国家的AV软件免费利用,没有自己的病毒库
http://www.virscan.org/
● 在线多引擎查杀网站与AC厂商共享信息
● 常用RAT软件
○ 灰鸽子、波尔、黑暗彗星、潘多拉、NanoCore
NanoCore简单教程
注:文件自行寻找,需要可私信我
● 创造木马程序
输入控制端IP地址和端口
● 然后就可以生成木马程序
● 然后你传入被控机运行,就可以对其控制
● 例如远程发送信息
被控端可以收到信息
● 查看被控机器任务进程
● 远程查看桌面
● 还有键盘记录器
● 放入virustotal在线检测平台可扫出来为木马程序
下一篇:matplotlib简介