免杀技术

基础内容

---

杀毒软件是如何检测出恶意代码的？

1.静态分析方法就是在不运行恶意代码的情况下，利用分析工具对恶意代码的静态特征和功能模块进行分析的方法。静态分析工具包括 ollyDump（GigaPede2009）、 W32DASM（URSoftware2009）、IDAPro（DataReseue2009）和HIEw（Suslikov2009）等。利用静态分析方法，可以分析出恶意代码的大致结构，可以确定恶意代码的特征字符串、特征代码段等，还可以得到恶意代码的功能模块和各个功能模块的流程图。静态分析方法是目前最主要的代码分析方法，被广泛应用于恶意代码分析和软件安全测评工作中。
2.恶意代码和其它正常代码（benignsoftware）一样，本质上来 说也是由计算机指令和非指令的数据构成的，根据分析过程是否考虑构成恶意代码的计算机指令的语义，可以把静态分析方法分成基于代码特征的分析方法和基于代 码语义的分析方法两种类型。
1）基于代码特征的分析方法
2）基于代码语义的分析方法
3.动态分析方法
动态分析方法通过在可控环境中运行恶意代码，全程监控代码的所有操作，观察其状态和执行流程的变化，获得执行过程中的各种数据。使用最广泛的可控环境就是 “虚拟机” （Virtualizers），此环境和用户的计算机隔离，代码在被监控环境中的操作不会对用户计算机有任何的影响。根据分析过程中是否需要考虑恶意代码 的语义特征，将动态分析方法分为外部观察法和跟踪调试法两种。
1）外部观察法
2）跟踪调试法

免杀是做什么

使用一些方法使得恶意程序不被杀软和防火墙发现，避免被查杀。

免杀的基本方法有哪些

• 方法一:直接修改特征码的十六进制法
  1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.
  2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下能
  否正常使用.
• 方法二:修改字符串大小写法
  1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.
  2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.
• 方法三:等价替换法
  1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.
  2.适用范围:特征码中必需有可以替换的汇编指令.比如JN,JNE 换成JMP等.
  如果和我一样对汇编不懂的可以去查查8080汇编手册.
• 方法四:指令顺序调换法
  1.修改方法:把具有特征码的代码顺序互换一下.
  2.适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行

• 方法五:通用跳转法
  1.修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.
  2.适用范围:没有什么条件,是通用的改法,强烈建议大家要掌握这种改法.

  文件免杀方法：

• 加冷门壳
• 加花指令
• 改程序入口点
• 改木马文件特征码的5种常用方法

• 还有其它的几种免杀修改技巧

---

免杀实验

---

工具Veil-Evasion

结果

转载于:https://www.cnblogs.com/q-z-y/p/6958099.html