第115天:免杀对抗-特征码定位&添加花指令&加冷门壳&加反VT保护&资源修改

第115天:免杀对抗-特征码定位&添加花指令&加冷门壳&加反VT保护&资源修改_第1张图片

知识点

#知识点:
1、特征码扫描-花指令&定位修改
2、文件检验法-资源修改&加签名
3、沙盒检测法-冷门壳&代码运行保护

#章节点:
编译代码面-ShellCode-混淆
编译代码面-编辑执行器-编写
编译代码面-分离加载器-编写
程序文件面-特征码定位-修改
程序文件面-加壳花指令-资源
代码加载面-Dll反射劫持-加载
权限逻辑面-杀毒进程干扰-结束
工具数据面-通讯内存流量-动态

对抗目标:
X60 Defender 某绒 管家 VT等

编程语言:
C/C++ Python C# Go Powershell Ruby Java ASM NIM Vlang等。

涉及技术:
ShellCode混淆,无文件落地,分离拆分,白名单,DLL加载,Syscall,加壳加花,
资源修改,特征修改,二次开发CS,内存休眠,进程注入,反沙盒,反调试,CDN解析等

演示案例

1、成品EXE-反特征码-通用跳转&花指令
2、成品EXE-反VT沙盒-加壳加保护加资源
常见查杀方式理论点:
1、特征码扫描(静态):所谓"特征码"其实就是程序内部的一串或者几串二进制机器码。特征码匹配工作原理是先总结出某个病毒的特征码,然后在目标文件中搜索看有没有类似的匹配,如果有匹配就暂定为病毒文件。优点:速度快,配备高性能的扫描引擎;准确率相对比较高,误杀操作相对较少;很少需要用户参与。缺点:采用病毒特征代码法的检测工具,面对不断出现的新病毒,必须不断更新病毒库的版本,否则检测工具便会老化,逐渐失去实用价值;病毒特征代码法对从未见过的新病毒,无法知道其特征代码,因而无法去检测新病毒;病毒特征码如果没有经过充分的检验,可能会出现误报,数据误删,系统破坏,给用户带来麻烦。

2、文件和校验法:将正常文件A的hash值保存,然后如果有一个新的A文件发送过来计算其hash值,如果与正常文件的不同,那么认定为病毒文件。

3、沙盒检测(动态):基于"行为"的检测,看有没有一些敏感的行为来确定文件是否为病毒。优点是可能发现未知的病毒,缺点是误报相对较高,需要用户参与。

4、云查杀:类似于特征码查杀。只是如果特征码库没有匹配值的时候会把文件上传到云端继续分析,有时候扫描病毒刚扫描出来不是病毒,但过一会儿扫描就是病毒了,这种行为就是云查杀。

#成品EXE-反特征码-通用跳转&花指令
1、C/C++-Project4-通用跳转法
特征码区域汇编移动到全0区域后用jmp调用
2、C/C++-Project2-花指令改入口
添加花指令重定向修改入口地址从而打乱特征码位置

#成品EXE-反VT沙盒-加壳加保护加资源
加壳:Py-Pyinstall-UPX Tool等
加资源:Py-Pyinstall-Restorator
加保护:C-Project2-VMProject Shielden等

总结

之前针对的是没有打包成exe的代码做文章,现在是对打包好了的exe做文章

今天针对打包好的exe免杀,介绍了以下几种技术:
1、通用跳转法:
主要思想:通过跳转至其他代码区域执行代码,而不是按照原始代码的顺序线性执行,难以被静态查杀。
利用工具(VirTest)检测特征码的位置,然后将特征码区域汇编移动到全0区域(即空白区),先jmp到移动后的区域,然后再jmp回来继续执行。
2、花指令改入口:
花指令就是一些垃圾汇编指令(无实际操作的指令),可以使结构更加混乱,增加查杀难度,但单纯的花指令效果一般。
利用工具(万花筒-花指令生成器)添加花指令,在前部或其他位置插入大量的花指令,
在花指令区域内,嵌入一个真正的入口点代码,将执行流转移到恶意代码的真实执行入口(一般是较后的代码块)。
3、加壳:
可利用工具(UPX Tool)加壳,主要目的是防止杀软的反调试/反编译。
4、加资源:
比如可以用工具(Restorator)将图标、版本、界面风格等替换成火绒(即其他正常exe)的,但效果一般。
5、加保护:
可以用工具(Shielden)设置代码加密、检测VT虚拟机运行、检测反调试/反编译等

常见杀软的查杀方式总结:(总的来说可以分为静态、动态两种)
1、特征检测:
通过使用病毒特征库,查找文件中已知的病毒、恶意软件特征。这些特征可以是恶意代码的特定指令序列、字符串、哈希值等。
2、文件校验:
将正常文件A的hash值保存,然后如果有一个新的A文件发送过来计算其hash值,如果与正常文件的不同,那么认定为病毒文件。
3、沙盒检测:
基于行为的检测,放到类似于虚拟机的隔离环境中执行,看有没有一些敏感的行为来确定文件是否为病毒。
4、云查杀:
类似于特征检测。上传到云端比对恶意特征,从而判断文件是否是恶意的。可能刚开始没有杀,但过几分钟杀了,这种行为就是云查杀(360就是)

关于"加壳"1、在可执行程序中植入一段代码,运行的时候优先取得程序的控制权,之后再把控制权交还给原始代码,目的是隐藏程序真正的OEP(入口点)。
2、一般的可执行程序可以很轻松的被反编译工具修改,但如果加壳就不是那么容易了,需要先脱壳,动态调试根本就没有进到源程序。
3、加壳一般分为压缩壳和加密壳。压缩壳并不能免杀,只是为了减少体积。

你可能感兴趣的:(免杀对抗,免杀)