电商网站设计公司只选亿企邦,网络营销ppt模板,宁波正规网络推广多少钱,做国际网站的上海高端网站公司目录
一、免杀的概念
二、免杀系统搭建
三、免杀工具介绍
1、myccl
2、C32asm
3、OD
4、LordPE
5、ImportREC
6、VC6.0/visual studio
7、数字签名
四、关于杀软排名不分前后
1、360。
2、金山毒霸
3、江民
4、瑞星
5、安天防线
6、卡巴斯基
7、NOD32
8、诺…
目录
一、免杀的概念
二、免杀系统搭建
三、免杀工具介绍
1、myccl
2、C32asm
3、OD
4、LordPE
5、ImportREC
6、VC6.0/visual studio
7、数字签名
四、关于杀软排名不分前后
1、360。
2、金山毒霸
3、江民
4、瑞星
5、安天防线
6、卡巴斯基
7、NOD32
8、诺顿
9、小红伞木伞
10、BD
五、杀软的查杀方法
1、最基础的查杀
2.1、静态启发式
2.2、动态启发式
3、HIPS
4、云安全
六、免杀方面的术语
1、API
2、花指令
3、输入表
4、区段
5、加壳
6、反启发
7、隐藏输入表 一、免杀的概念
什么是免杀免杀也就是反病毒AntiVirus与反间谍AntiSpyware的对立面英文为Anti -AntiVirus简写Virus AV逐字翻译为“ 反-反病毒”翻译为“反杀毒技术”。 通俗点讲也就是一个被杀软报毒的PE文 件经过一系列处理后使杀软不认为他 是一个病毒或木马。
那么啥是PE文件PE文件指的是windo ws操作系统上的程序文件常见的有exe,dll,sys,com的后缀的文件PE文件都有PE头 和MZ标识。
还有就是现在的三种主流免杀方式啊分别是特征码免杀非特征码免杀和源码免杀。
现在特征码免杀是在逐渐衰退因为现在 的杀软主要倾向了HIPS主动防御以及启发式扫描 特征码修改和定位是越来越难了。个人认为特征码定位会很蛋疼。 。。那么无特征码免杀更是难上加难其实就是盲免。目前只有少数牛人在玩了源码免杀一个当今非常好的免杀方法。 啥360你盯上我的心API了我动态调用啥小红伞你盯上我代码了我源码无破损修改。啥NOD32干扰太强你定位不出直接用C32先找出大致范围如输入表代码段等等我再在源码改 意思就是源码免杀基本能解决所以免杀难题 。 【一一帮助安全学习所有资源获取处一一】 ①网络安全学习路线 ②20份渗透测试电子书 ③安全攻防357页笔记 ④50份安全攻防面试指南 ⑤安全红队渗透工具包 ⑥网络安全必备书籍 ⑦100个漏洞实战案例 ⑧安全大厂内部视频资源 ⑨历年CTF夺旗赛题解析 二、免杀系统搭建
做免杀如果我们做一款远控的免杀咱们做好了之后是需要进行测试的那一些对系统有害的需要测试咋办呢那就得用到虚拟机或影子系统ps:由于这些都是基本的一些工具我也就不再多讲。
当然做免杀是需要一个免杀工具包的小七免杀工具包精简版2.0就很不错里面的东西都是干净的但是原始下载地址栏找不到百度上有很多由于安全性未知我就不发链接了但他大小应该是在350mb左右。
三、免杀工具介绍
小七免杀工具包里有很多的工具我就列出其中的一些常用的排名不分前后
1、myccl
Myccl作为05出品的一款定位工具到现在还是独领风骚实用性五星稳定性五星。
2、C32asm
一款非常好的静态反汇编工具一般人免杀定位出特征码后都会先到C32里面去改如果不行就载入od。当然源码免杀就直接看定位出的东西在源码所对应的代码修改就ok。
3、OD
作为一款神器OD有很多作用破解免杀啊都需要它做免杀不必要学汇编通读几遍80×86就差不多了
4、LordPE
LordPE是一款功能强大的PE文件分析、修改、脱壳软件。LordPE是查看PE格式文件信息的首选工具并且可以修改相关信息。我没有用LPE脱过壳LPE比较常用的功能就是修改地址查看区段以及区段入口地址查看和修改输入表以及计算位置重建PE功能有时会用到
5、ImportREC
一款傻瓜式的输入表重建工具用于做预处理效果很好的
6、VC6.0/visual studio
不解释
7、数字签名
作用就是给软件加上一个数字签名对启发式和主动有一定效果
四、关于杀软排名不分前后
1、360。
360作为中国杀软上的后期之秀占中国杀软很大部分的市场当时0910年的360是非常弱的定位根本无干扰但现在的360查杀能力不在话中但误报率过高现在5引擎小红伞BDQVM其中BD木伞都是可以定位的但QVM是一个伪启发但是QVM07可以用定位一般QVM都是杀输入表杀壳入口点资源这些。
HEUR/Malware.QVM06.Gen 一般情况下加数字签名可过 HEUR/Malware.QVM07.Gen 一般情况下换资源 HEUR/Malware.QVM13.Gen 加壳了 HEUR/Malware.QVM19.Gen 杀壳 lzz221089提供 HEUR/Malware.QVM20.Gen 改变了入口点 HEUR/Malware.QVM27.Gen 输入表 HEUR/Malware.QVM18.Gen 加花 HEUR/Malware.QVM05.Gen 加资源改入口点
QVM07加资源一般加到2M会报QVM06 再加数字签名然后再慢慢减资源这个方法对大部分木马有效果。 QVM06 加数字签名 QVM12杀壳 QVM13杀壳 QVM27杀输入表 QVM19 加aspack QVM20就加大体积/加aspack压缩
2、金山毒霸
金山走的是云安全云防护云鉴定这些云安全路线所以断了网后金山就是个废原来有大牛这样写过马的先运行时断开网络然后释放出马再运行运行成功后就连接网络这样是可以使免杀效果更好一些。现在在天朝大部分的人都用的360和金山
3、江民
江民定位就OK主要是对特征码字符串和资源进行查杀(具体方法已经记录到私密博客)。
4、瑞星
瑞星曾经是很霸气的现在低调了许多主要是主动防御拦截(具体方法已经记录到私密博客)
5、安天防线
安天防线作为一款不是杀软的杀软现在是纯特征码扫描。
6、卡巴斯基
非常变态的一款杀软误报低查杀率高特征码输入表变态查杀静动态启发式强力的虚拟机脱壳技术。人类已经无法阻止卡巴斯基的输入表查杀了在反汇编下你无论对输入表怎么重建移位都不行需要进行手动异或加密。
7、NOD32
我个人认为的最好的杀软NOD32主要盯的是资源和输入表他的启发式是相当不赖的而且NOD32抗定位干扰非常强一般是定位的不出特征码了需要手工一段一段的找特征码大致所在区域再修改这样是非常耗时的而且一上报就完蛋。所以一般的不会做NOD32的免杀
8、诺顿
诺顿不是NOD32诺顿的主动防御貌似的是很牛B但表面查杀一般(具体方法已经记录到私密博客)。
9、小红伞木伞
小红伞的特征码定位抗干扰技术比较好。还有小红伞的启发式也比较不错(具体方法已经记录到私密博客。
10、BD
比特焚德以全球最大的病毒库著名HIPS特征码虚拟机高启发还是不错的
五、杀软的查杀方法
1、最基础的查杀
特征码查杀你说杀软要认为这个东西是个木马得有个判断条件吧总不可能随便给你杀了。特征码就是最基础的查杀方式。特征码是什么特征码就是病毒分析狮从病毒中提取的不大众化的不大于64字节的特征串。通过判断是否有这个特征字符串从而确定是否为病毒。通常为了减少误报一个病毒会取数个特征码。
2.1、静态启发式
静态启发式即对整个软件进行分析。首先杀软会规定规则这个问题规则就是法律一样的如果静态启发式分析出了杀软中的规定的法律那么他的怀疑等级就会提高跟起诉一个犯罪嫌疑人的证据一样证据越多那个人的可疑性就越高到一定程度就成了做坏事的人
2.2、动态启发式
动态启发式又叫虚拟机查杀技术会模拟出一个近似于windows的系统但没有我们使用的windows那么全健杀软会把病毒丢进他的虚拟机里进行操作监视如果操作越可疑就越容易被定为病毒这段话为了大家能看懂我省去了一些专业术语
3、HIPS
HIPS可以说是主动防御何为主动防御一个马儿如果通过了表面查杀那么主动防御就是最后一道防线既然是最后一道防线做得肯定要很牛咯。HIPS主要是对一个软件运行时的进行检测如果发现软件有注册表操作加载驱动这些一般程序不应操作的操作时那么他就会以他R0级的优势拦截掉并将程序暂停运行也就是挂起询问用户是否进行该操作。
4、云安全
云查杀。这个是这样的。首先杀软那里有一套规则如果一个软件触犯了这些规则则杀软会上报至云服务器到了云服务器后则会对上报文件进行鉴定可能会是人工鉴定这样的效果比杀软查杀效果要好得多。那么如果分析出这个程序是病毒那么就会将这个程序的MD5发生至云中心用户在联网状态下杀毒的话就与云中心核对MD5如果对上了无条件认定为病毒
六、免杀方面的术语
1、API
Windows API是一套用来控制Windows的各个部件的外观和行为的预先定义的Windows函数。用户的每个动作都会引发一个或几个函数的运行以告诉Windows发生了什么。API这个我也说不清。我认为是这样的程序的操作都会有一个API有些操作产生的API则是可疑的如写注册表这一类的api就会被杀软所盯上报为病毒。
2、花指令
花指令是一段无用代码用来迷惑杀毒软件。就好像男扮女装用来伪装自己。
3、输入表
输入表是每个程序必备的里面有程序所调用的大小姐函数而一些可疑操作的函数则会引起杀软注意。
4、区段
区段是程序保存数据的地方不同的区段保存了不同的东西大家可以用LPE打开一个程序找到区段选项就可以看到区段了。
5、加壳
加壳分为加压缩壳和保护壳〔加密壳〕压缩壳是目的是使程序变小但无保护程序防止被反破解的作用。保护壳恰恰相反保护壳的目的是使程序尽量防止被反汇报但好的保护壳会议给程序植入大量垃圾代码以干扰破解版者所以程序会变大。
6、反启发
即加入对杀软的启发式干扰的代码
7、隐藏输入表
即让输入表无法在c32中出现。
最后
为了帮助大家更好的学习网络安全小编给大家准备了一份网络安全入门/进阶学习资料里面的内容都是适合零基础小白的笔记和资料不懂编程也能听懂、看懂所有资料共282G朋友们如果有需要全套网络安全入门进阶学习资源包。
有需要的小伙伴可以点击下方链接免费领取 【一一帮助安全学习所有资源获取处一一】 ①网络安全学习路线 ②20份渗透测试电子书 ③安全攻防357页笔记 ④50份安全攻防面试指南 ⑤安全红队渗透工具包 ⑥网络安全必备书籍 ⑦100个漏洞实战案例 ⑧安全大厂内部视频资源 ⑨历年CTF夺旗赛题解析 1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。 ② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供 因篇幅有限仅展示部分资料
2️⃣视频配套资料国内外网安书籍、文档
① 文档和书籍资料 ② 黑客技术 因篇幅有限仅展示部分资料
如果你对网络安全入门感兴趣需要的话可以在下方 3️⃣网络安全源码合集工具包 4️⃣网络安全面试题 5️⃣汇总 所有资料 ⚡️ 朋友们如果有需要全套 《网络安全入门进阶学习资源包》扫码获取~
