免殺技術 全稱為反殺毒技術Anti Anti- Virus簡稱“免殺”,它指的是一種能使病毒木馬免于被殺毒軟件查殺的技術,說通俗一點就是給病毒木馬文件做整容手術讓殺毒軟件來混淆殺毒軟件的查實從而達到免殺的目的,免殺的方式多種多樣今天小編就帶大家來探秘關于黑客眼中的免殺!
一、早期(2008年-2013年)的免殺其實還是很簡單的通過對病毒木馬進行加殼,壓縮,加密、替換木馬資源等方式就能直接對木馬文件進行簡單整容,讓殺毒軟件無法對木馬文件進行識別從而達到免殺。那會兒由于殺毒機制并不完善很多簡單的木馬病毒通過簡單的加殼,加密,upx壓縮就可以達到木馬的免殺,那會兒有著“簡單一壓,木馬行天下”的說法。
upx壓縮軟件
二、中期(2014年-2017年)的木馬免殺隨著殺毒軟件的不斷完善,病毒庫特征碼的不斷累積,免殺技術進入了一個新的階段 源碼免殺,源碼免殺通過myccl等查殺定位工具找到木馬文件中存在的特征碼區域,通過c32sam等反匯編工具查找報毒區域是屬于字符查殺還是函數查殺再通過再源碼中尋找查殺的位置對源代碼進行加花(寫入一些廢話代碼,列如sleep(0)延時0秒)、函數調用(改變原有的函數名稱,但不改變功能)等處理方式躲避殺毒軟件的查殺,當然還有許多高級的源碼免殺方式列如內存加載等。
源碼免殺中找特征碼
三、當前(2018年-至今)當前殺毒軟件的不斷加強導致傳統的整容免殺、源碼免殺難度頗高這會兒的殺毒軟件由特征碼查殺+行為查殺,導致傳統方式做出來的免殺再掃描的時候不會報毒,但運行的一瞬間就報毒了,這時新的免殺方式就延伸出來了 白加黑木馬免殺,什么是白加黑呢?所謂的“白加黑”,籠統來說是“白exe”加“黑dll”,“白exe”是指帶有數字簽名的正常exe文件(列如迅雷等正常的軟件),那么“黑dll”當然是指包含惡意代碼的dll文件。病毒借助那些帶數字簽名且在殺毒軟件白名單內的exe程序去加載自己帶有惡意代碼的dll,便能獲得殺毒軟件主動防御的自動信任,從而成功加載到系統中。
含數字簽名的白文件
運行時會調用dll文件,這個dll劫持并重新編寫后達到啟動病毒的目的
在日新月異的信息時代中無時無刻都會有新的病毒木馬產生,保持良好的上網習慣是防止中毒的有效途徑,不瀏覽不健康的網站,不點擊陌生人發送的連接,不使用外掛等作弊軟件,保持殺毒軟件病毒庫的更新就能很大程度避免中毒的可能,下期給大家介紹,黑客眼中的“抓雞”是什么,有哪些方式。
(本文僅代表小編個人觀點,如有不足請大家批評指正)
