是否应该放弃免杀技术
文章原始出处: www.s5dofus.com
是否应该放弃免杀技术?
是否应该放弃免杀技术?
面对如今杀软的主动防御技术以及云安全技术,我一直在想是不是该放弃免杀技术的钻研?
到最后我还是放弃了,因为我感觉目前的免杀技术操作周期过长不能快速免杀,并且效果并不理想.
回想06 07年的免杀,不夸张的说木马或者其他一些文件仅仅加一个壳,一个花 很容易就
过了,像瑞星,记得那个时候 它对文件的查杀并不强,但是在内存方面确实老大级别的,在内存查
杀方面可以说是杀软里的第一,可是即使是这样,做它的免杀也容易,金山就更不说了,可时至今日,
杀软技术每年都在改变升级,自从云安全概念出现之后,我真的感觉到了危机,杀软技术真的变强了....
记得在群里看到很多和我一样的菜鸟经常会说做免杀的时候把机器断开网络,以免被杀软
提交之后就白做了,确实很聪明,可是你能确保到别人的机器上不被自动提交吗?在我实践之中,无
论你花了多少时间去修改特征码,无论你花多少时间去定位,费了好长时间 达到了免杀的效果,并
且在虚拟主机上测试很完美,功能无损,上线正常,运行不出错,感觉到很满意,但是只要传播出去,
不超过3天肯定被查杀,这个时候很多人会说某某技术不好,某某人做的不好,而作为我自己观点认
为,无论你如何加密,如何加壳,如何改壳,或是把特征码改的如何完美,只要被提交上去被分析,
那你所做的一切操作都是徒劳的,因为新的特征码又出现了,也就是杀软所提及的某某变种,当然这
里面也包括一些软件作者改动部分代码而形成的结果,一想到此我就懊恼不以,因为免杀技术一直是
非常枯燥的,前些年简单的加壳,加花,改壳改花,现在已经根本没什么效果了,移动函数,从建输
出表,加版权,加数字签名等等...随着时间以及公布之后效果也并不显著,前段时间一位自己好朋友,
他一直在研究免杀,是一位小学校长但是对技术很痴迷,由于时间比较少所以进步不是那么快,他跟
我说把EXE程序转换为BAT,运行之后在转回来可以过表面,我不知道改说点什么,不知道 这个跟把程
序做成某某资源之后过杀软表面释放到目录里运行又被主动查杀是一个道理?感觉好象没什么意义 ,
当然我自己没测试 ,只是做直觉评价,杀软这几年从我自己做的第一个免杀到后来的主动防御,在到
现在云安全,感觉确实强悍了很多,并且某日在一个服务器里看到几个都不太认识的杀软,事实
上杀软以及查杀木马的安全软件国外很多,有些根本不认识,当然我对免杀也不是非常了解 也就不可
能像一些每天研究免杀的专家虚拟主机上 安装的杀软那是相当多,但是当我设置它的时候我发现 都
有自动提交的选项,可见这里才是重点,被查杀就是我们的文件被提交分析了,如何避免不被提交分
析才是最好的免杀办法。我看到一些文章也有破解云安全的办法,域名劫持 文件占坑什么的,控制服
务...有的是针对个别的杀软,所以目前对于我这样的一个菜鸟来说确实没什么好的办法解决云安全提
交文件 快速被秒杀的问题,也许网络上有很多牛B人物可以解决,但是也不会把好办法公布出来
对于免杀技术 公布出来也就没什么价值了,所以 今天有了这个文章,我们该不该放弃免杀技术的钻研?
该不该放弃呢?事物存在自然有存在的道理,免杀是我们需要的,因为大部分的人是需要靠
一些软件去完成自己的操作,所以很多文件会被杀软拦截而无法达到我们的目的,所以这个时候就必须
要做免杀了,所以完全抛弃免杀技术不现实,经过实践,像一些不是非常张扬和出名的小文件还是老办
法即可解决,加点花,改个花,自己写花指令,改个壳 ,找一些珍藏的壳或者自己制作一个补丁达到
快速免杀的目的是完全可以实现的,而像一些鸽子 PC 比较出名的远程控制那是突破不了的,需要花
时间去做免杀,而我们并没有太多的时间去每天免杀文件,我们需要的是快速免杀,看到一些站点发布
的教程,据说 黑防版的鸽子都有30多处还是100多处特征了并且还有人在改,我实在佩服毅力当然为
了技术也是值得的,但是至少我是早放弃使用了,我怕累死,那么说到这里我们如何去解决自己实际
应用之中能让自己的程序突破杀软阻挠呢?,出名的文件我选择放弃,简单的文件我选择自己编写,
这里也引出了我自己目前的观点,与其花时间每天去定位特征码每天去论坛问大大们 某某特征如何修改,
不如把时间积累起来学习编程,或者研究源代码级免杀 ,我认为这个比较有发展也是解决问题的途径,
花大量时间去修改鸽子 PC 等等一些出名的软件,修改的破烂不堪累的要死还不说很多功能失去了,兼
容性更有待遇考验,这里我也要说下很多人包括自己经常性的错误,总是认为自己的东西很完美很NB,
其实实际测试的之后你就会发现,出错的时候多了去了,因为实际环境是复杂的,所以和我一样的
菜鸟们考虑下学习编程还是不错的,我实践之中发现 ,即使被查杀的文件 什么都不改动从新从编译器
里生成一次都可以免杀,如此的简单,快速免杀,根本不需要定位, LOADPE查看什么的花时间累死累活
的,并且 遇到一些诸如NOD32 卡吧 小红伞 这类牛牛们,你也可以轻松过去,因为是自己的工程文件
你很容易测试出来他们查杀是那句,例如我一个程序 加上一句 WEB控件和2个文本框发送数据出去,就
被识别为木马程序,去掉这一句就不在查杀而当我把这控件名字更换,调用的API函数换成等效果的别的
API函数之后把 WEB地址加密从新放进去 效果达到了不在查杀,而实际上 我的程序根本不是木马仅仅就
是一个发送软件使用日志的效果,但是可以想象这类思路 是经常被盗号木马使用了 所以才会被识别为
木马,就像目前的UPX FSG 北斗压缩壳 根本不能使用了,正常的程序使用的话
直接被识别为恶意的 ,而实际上就是杀壳,改壳的话可以突破,但是还是比较麻烦,因为改壳需要反复
测试,而熟练编程技术之后 很快可以达到免杀目的 ,即使轻微改动调用函数位置 以及变量名字等等针
对个别杀软都是很有效果的。
写到这里我必须承认我的认识是非常肤浅的,因为我自己清楚我并没有花时间深入免杀领域
仅仅就是为了自己需要而学习了一点点而已,但是面对云安全,面对主动防御 一些进程注入,修改注册
表动作等等,也都被拦截了,所以 由钻研免杀转向编程免杀 还是有门槛和适应人群的,很多朋友不喜欢
编程没有兴趣 这也是个问题,并且编程上的一些常用技术手段也都被公开了,但是杀软在改变,我们的
技术也在改变相信新的技术会不断出现,而对于我们自己 我还是认为通过编程以及源代码修改 达到快速
免杀才是捷径。好了,5点了就罗嗦这么多,文章相当肤浅,很多地方观点可能存在错误,欢迎
来S5dofus.com跟我交流安全技术.