国内第一个真正意义上的变种病毒“中国黑客”第一代所未

从理论上讲,杀毒软件必须出现在杀毒软件之后。从杀毒软件的发展史不难看出,第一款杀毒软件1.0是Wish在1987年推出的,这意味着杀毒技术至少在1989年,关于世界杀毒技术的历史资料已经没有了,但从国内来看,杀毒技术的起步可以说是很晚了。

1989年:第一款杀毒软件诞生,标志着杀毒反扫描时代的到来。

1997年:第一个可以自动变异的千面病毒(/Virus)在中国出现。自动变异是病毒对杀毒软件的一种杀毒手段,但与杀毒软件的定义不同。

2002年7月31日:第一个真正的国产变种病毒“中国黑客II”出现。除了新功能外,它还实现了第一代“中国黑客”所没有实现的功能。可以看出,这个变种也是病毒作者自己制作的。

2004年:在黑客圈内,杀毒技术是今年黑客动画酒吧首次公开提出的。由于当时没有CLL等专门的杀毒工具,一般都是逐字节修改。

2005年1月:著名杀毒工具CCL的软件作者在杂志上发表文章宣传CCL。从此,国内黑客界有了自己的第一个专用杀毒工具。

2005年2月-7月:通过各种有意无意的宣传,黑客爱好者开始越来越重视缓解。来自黑吧安全网的昊天老师,类似于缓解技术的始祖,带领着下一批黑客。反病毒技术的讨论越来越多,为以后木马的流行奠定了基础。

2005年8月:第一部反病毒可查动画由黑吧老师昊天完成,为广大黑客爱好者提供了有效参考,成功进行了第一部反病毒技术科普。

2005 年 9 月:反病毒技术开始真正流行起来。

从以上信息可以看出,第一个可以自动变异的千面病毒是1997年在中国出现的。虽然自动变异也可以看成是杀毒软件的一种杀毒方式,但与定义有关防毒软件。存在差异,因此定位1997年国内杀毒技术的起源是牵强附会。

直到2002年7月31日,国内第一个真正的变种病毒“中国黑客II”才出现较晚,因此我们可以暂时定位2002年7月国内杀毒技术的起源。

免杀asp木马_免杀一句话木马_免杀木马彩衣下载

杀毒技术介绍1.修改特征码

反杀最基本的思想就是破坏特征。该特征可以是特征代码或行为特征。只要破坏病毒和木马的固有特性,不改变其原有功能,就可以完成一次性规避。向上。

特征码:可以将程序识别为病毒的特征字符串,不大于64字节

就目前的杀毒技术而言,其实有两种方式可以通过改变签名来达到避杀的效果。

一种是改变特征码,这也是原来的避杀方法。例如,一个文件有“灰鸽子成功发射!”这句话。在某个地址,说明是木马。把对应地址里的句子改成别的就行了。如果它无关紧要,只需更改它。删掉就好了。

二是针对目前推出的查杀技术提出的反杀思路。虽然它的原理还是特征码免杀一句话木马,已经脱离了纯粹意义上的特征码的概念,但是是不变的。实际上,校验和也是根据病毒文件中的独特块计算的。如果文件特定区域的校验和与病毒库中的特征匹配,杀毒软件就会报警。因此,如果要防止杀毒软件报警,只要对病毒的某个特定区域进行一定的改动,就会改变该区域的校验和,从而达到欺骗病毒的目的。防毒软件。

修改特征码最重要的是定位到特征码,但是定位到特征码后,修改并不代表程序就可以正常运行了。柔和的效果。虽然效果不好,但有时不用源码也能用。

2. 免杀花说明

花指令实际上是无意义的指令,也可以称为垃圾指令。花指令是否存在对程序的执行结果没有影响,所以它的唯一目的就是防止程序被反汇编,或者为反汇编设置障碍。

免杀一句话木马_免杀木马彩衣下载_免杀asp木马

大多数杀毒软件都是靠签名来判断一个文件是否有毒,为了提高准确率,当前的签名都在一定的偏移量范围内,否则会严重影响杀毒软件的效率!黑客在程序中加入花指令后,程序的部分偏移量会受到影响。如果杀毒软件无法识别这条花指令,那么它的检测签名的偏移量就会整体移动某个位置。无法正常检测木马。

3.添加shell避免被杀

说到软件打包,简单来说,软件打包也可以称为软件加密(或软件压缩),只是加密(或压缩)的方法和目的不同。外壳是软件添加的保护,不会破坏里面的程序结构。当我们运行这个打包好的程序时,系统会先运行程序中的shell,然后加密的程序会被shell逐步恢复到内存中,最后运行程序。

当我们运行这个打包好的程序时,系统会先运行程序的“shell”,然后shell将加密后的程序逐渐恢复到内存中,最后运行程序。这样,在我们看来,打包后的程序并没有什么变化,却达到了加密的目的。这就是外壳的功能。

脱壳虽然对特征码绕过有很好的效果,加密壳基本可以覆盖所有的特征码,但是缺点也很明显,因为壳本身有自己的特点。在某些流氓国产反软件检测手段下,主流的shell比如VMP等,一旦检测到shell,box会直接告诉你这个东西有问题。虽然它非常简单,但它仍然非常有效。在某些情况下,会直接删除一些常用版本的 shell 进行分析。

面对这种情况,可以考虑使用所有冷门的加密shell。如果有时间和精力,可以在开源压缩shell的基础上修改一些源码。效果可能非常好。

总的来说,打包避杀的方式还是比较实用的,特别是对于非开源的PE文件,通过打包可以绕过很多特征码识别。

4.无记忆杀戮

CPU不能专门为某个封装软件设计,所以CPU无法读取封装软件的可执行代码。这就要求在执行shell代码时,必须将原始软件解密并放入内存中,然后通知CPU执行。

免杀asp木马_免杀一句话木马_免杀木马彩衣下载

因为杀毒软件的内存扫描原理和硬盘上文件的扫描原理是一样的,都是通过特征码来比较的,但是为了制造混乱,大多数杀毒公司使用不同的内存扫描和文件扫描方式. 一组特征码,导致病毒木马同时具有两个特征码,必须全部销毁,才能躲过杀毒软件的查杀。

所以免杀一句话木马,除了打包之外,黑客针对杀毒软件的基本思路并没有改变。至于打包,只要加上一个“强”的外壳,会混淆程序的原始代码,其实就可以躲过杀毒软件的查杀。

5.二次编译

提供多种格式的sum,生成的sum也为二次处理提供了很好的遍历,不过也被各大厂商盯上了。

但是 msf 中唯一的评估是编码器。这种多态编码技术使得每次生成的攻击载荷文件不同,编解码也不同。您还可以使用管道执行多种编码以避免被杀死。

目前的特性已经基本进入杀毒漏洞库,很难实现单一代码绕过杀毒,所以进一步修改编译成为msf杀毒的主流。网上很多语言都使用C、C#等语言进行二次编码,达到避杀的效果。

6.分离避杀

大神后梁和大神青玄都分别提到了反杀分离和反杀分离,使用的是分离的方法,即将与装载机分离。网上也有很多各种代码,各种语言的实现也很容易找到。虽然看起来简单,但是效果还是不错的。比如侯亮说的,加载c代码,基本上没有可以查杀的AV。

7.资源修改

免杀一句话木马_免杀木马彩衣下载_免杀asp木马

有些杀毒软件会设置扫描白名单。比如将程序图标替换为360安全卫士图标就可以进行360扫杀。

添加资源

对文件进行资源操作,找到多个普通软件,将它们的资源添加到自己的软件中,如图片、版本信息、对话框等。

替换资源

用于替换无用的资源(等)。

添加签名

使用签名伪造工具将普通软件的签名信息添加到自己的软件中。

参考

很多内容参考了禾商和两位大佬的文章,谢谢!如果您想了解更多信息,请访问以下链接。

免杀木马彩衣下载_免杀一句话木马_免杀asp木马

有一套反杀技术:

反杀与对抗分析:

防杀术:

新书:《内网安全攻防:渗透测试实用指南》上市!

购买链接:

安全实验室

注重普及网络安全知识。团队已发布《Web安全攻防:渗透测试实战指南》,预计2019年10月发布《内网安全攻防:渗透测试实战指南》,12月发布《CTF大赛秘籍-入门》,目前正在编辑渗透测试。关于 JAVA 代码审计和 APT 的书籍。

团队公众号定期分享CTF靶场、内网穿透、APT等技术干货,从零开始,专注实战,致力于做一个实用的干货分享公众号。

官方网站:

关键词:免杀一句话木马