1.反病毒軟件原理 構(gòu)成: 多個(gè)掃描器,病毒庫(kù),虛擬機(jī) 特征碼:病毒具有的獨(dú)一無(wú)二的特征字符 虛擬機(jī): 構(gòu)建運(yùn)行環(huán)境與實(shí)際cpu,硬盤隔離

2.掃描技術(shù)

1.基于文件掃描 字符串掃描,正則表達(dá)式匹配掃描 智能掃描:忽略nop無(wú)意義指令,腳本病毒和宏病毒通過(guò)替換多余格式字符如空格,換行 多套特征碼和校驗(yàn)和, hash函數(shù)計(jì)算 骨架掃描:對(duì)腳本和宏病毒,去掉多余字符后分析代碼骨架,提高對(duì)變種病毒的檢測(cè)能力 ..... 2.基于內(nèi)存掃描 與實(shí)時(shí)監(jiān)控型掃描器協(xié)作. 檢測(cè)只基于文件免殺的病毒

3.基于行為監(jiān)控 :配合主動(dòng)防御和虛擬機(jī),識(shí)別程序的行為

4.云查殺 一個(gè)用戶查到了病毒,將特征發(fā)到服務(wù)器,然后整個(gè)用戶都能查殺到 .... 還有其他內(nèi)容

5.多種技術(shù)一起查殺

6.神經(jīng)網(wǎng)絡(luò)的啟發(fā)式分析

2.免殺原理 基本思想:破話特征碼,包括文件,內(nèi)存特征, 行為特征 1.文件免殺 字符串修改, 如果特征碼是字符串的話 花指令: 插入垃圾代碼干擾反匯編 加殼 2.內(nèi)存免殺 內(nèi)存中有是另外一套特征碼. 建立代碼虛擬機(jī),破壞指令特征 3.行為免殺 內(nèi)核級(jí)病毒 利用系統(tǒng)漏洞,軟件漏洞掩蓋自己的行為 3.特征碼定位 文件分割識(shí)別特征碼, 但是如果使用校驗(yàn)和就不行了 .....................

3.特征碼定位

　　1.逐塊填充

　　2.逐塊暴露

?

?

4.免殺思路:

　　1.加1減1 匯編機(jī)器碼相近的

　　2.空白區(qū)域跳轉(zhuǎn) 基于特征碼的偏移,這里修改了偏移.

　　3.上下互換 2條不影響執(zhí)行流程的指令上下交換

　　4.等值替換 ?2條執(zhí)行結(jié)果等價(jià)進(jìn)行互換

　　5.修改入口點(diǎn) .其實(shí)和空白區(qū)域跳轉(zhuǎn)類似

　　6.使用補(bǔ)丁

　　7.利用花指令

　　 8.利用seh

　　9.移動(dòng)pe頭部

　　10.移動(dòng)導(dǎo)入表

　　11.為了避免啟發(fā)式掃描,不應(yīng)添加新的代碼段,而是將原有代碼段增大,然后增加新的內(nèi)容

.如可疑的區(qū)段屬性:代碼段可寫(xiě),數(shù)據(jù)段可執(zhí)行,一般的程序代碼段只有一個(gè),且數(shù)據(jù)段屬性為不可執(zhí)行等

　　12.多個(gè)pe頭部,內(nèi)嵌pe程序.

?

?

5.源碼免殺

基本思路,通過(guò)定位特征碼,然后對(duì)比是哪些源碼代碼生成的,通過(guò)修改這些代碼使特征消失.

需要干的事:

1.定位行為特征, 定位文件特征

可以修改編譯選項(xiàng)和更換編譯器

寫(xiě)垃圾代碼(注意防止被優(yōu)化)

?

轉(zhuǎn)載于:https://www.cnblogs.com/freesec/p/6235053.html

總結(jié)

以上是生活随笔為你收集整理的免杀原理的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。