《黑客免杀攻防》读书笔记01

1.开始免杀的步骤：

目标反病毒软件强度如何？
目标反病毒软件有何弱点？
目标反病毒软件使用了什么独特的反病毒技术？
要怎样才能突破它？
待处理的恶意程序是用什么语言写的？
待处理的恶意程序的二进制代码是否已经被混淆或者加密过了？
待处理的恶意程序的使用人群是否广泛？

2. intel的特权级别有四层

Ring0：底层，内核层，也是操作系统的底层，只供操作系统使用
Ring3：高级层，也就是用户层，谁都可以用

3.反病毒软件的工作原理

3.1反病毒软件一般由扫描器、病毒库、虚拟机组成，并有主程序将他们整合为一体。（此结构是抽象出来的）
3.2扫描器用于查杀病毒，是反病毒软件的核心。扫描器的技术和算法是否先进决定了一个反病毒软件的效果好坏。反病毒软件不同的功能对应着不同的扫描器，大多数反病毒软件都是由多个扫描器组成的。
3.3病毒库中存储着病毒所具有的独一无二的特征字符，即“特征码”。其存储形式取决于扫描器采用哪种扫描技术。eg. exe文件、rmvb文件、jpg文件、txt文件。都有可能被查杀。
3.4虚拟机可以让病毒在一个由反病毒软件构建的虚拟环境中执行，与现实的CPU、硬盘等物理设备隔离。

4.基于文件的反病毒扫描技术

4.1第一代扫描技术

在文件中检索病毒特征序列。主要分为字符串扫描技术和通配符扫描技术。

4.2第二代扫描技术

近似精确识别法、精确识别法、智能扫描法、骨架扫描法。

4.3算法扫描。

5.基于内存的文件扫描方法

内存扫描器一般与实时监控扫描器协作。
反病毒软件的文件扫描组件能识别的病毒，内存扫描器也能识别。就算对一个文件木马免杀成功，如果不对其内存进行免杀，大多数在运行中的木马文件仍然会被反病毒软件杀掉。

6.基于行为检测的反病毒技术

原理：主要针对病毒木马的行为进行分析对比，如果某些程序在执行后会进行一些非正规的、可疑的操作，即便这是一个新生的病毒，也会被拥有这种技术的反病毒产品拦截。

一个典型的木马程序：
①释放一些文件到系统关键目录中。
②修改系统设置使这些新释放的文件可以自启动。
③删除自身。

7.基于新兴技术的反病毒技术

7.1 云查杀

基本思路：以服务器为脑，以所有用户的机器为触角，从而使得服务器可以随时知道每个用户的情况，如果其中某一个用户与其他用户对比发生了异常，那么服务器就会发出指令，让发生异常的机器检查出问题所在，并将问题反馈给服务器，从而在这个问题干扰其他用户之前将其扼杀掉。

7.2双引擎/多引擎查杀

同时运用两个反病毒引擎查杀病毒，其扫描的准确度会比单一反病毒引擎有所提高。