文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

免杀简单介绍

2023-09-01 16:23

关注

免杀简单介绍

免杀,指的是一种能使病毒木马免于被杀毒软件查杀的技术。

当前不论是个人PC还是服务器都有杀软,如个人PCwindows操作系统自带的 Windows defend与服务器上的各种杀软。如果在没有漏洞的目标,社工钓鱼也是需要进行免杀的。所以免杀是安全人员必备技能,到后渗透阶段一定要有好的免杀思路来支持。

一、免杀的分类

1.1 静态免杀

​ 比如你在文件上传漏洞上上传了一段木马到服务器,服务中的杀软识别出该木马的特征后判定为病毒,就直接将木马删除掉。

1.2 流量免杀

​ 杀软数据库中记录了知名远控木马的通讯特征,同时有些霸道的杀软会直接BAN掉你服务器,只要和你服务器进行通讯就会被查杀。

1.3 内存免杀

​ 杀软数据库中记录了知名远控木马的内存运行特征,如果木马在静态杀毒中不会被查杀,当你执行木马的远程下载反射到内存中时会被杀软捕捉到特征,将特征匹配的木马进行隔离或删除。

1.4 动态免杀(难点)

​ 就算上述三种免杀都绕过后,但是在执行一些敏感行为,比如添加自启动,计划任务、开启远程端口也会被杀软发现,如果频率低一点可能会被拦截,如果你高频敏感行为,杀软会对该行为进行重点标记。

二、免杀语言分类

2.1 编译型语言

​ 编译型语言要求使用编译器一次性将所有源代码编译为一个可执行程序,一次编译可以重复执行。代表的语言有C、C++、Golang、汇编等。

编译型语言一般不能跨平台

编译出来的只执行程序不能跨平台:因为不同操作系统对可执行文件有着不同的要求,彼此之间不能兼容。

源代码不能跨平台:不同操作系统下的函数、变量、api等可能会有不同。

2.2 解释型语言

​ 解释型语言是使用解释器一边执行一边转换,用到些源代码就转换哪些,不会生成可执行程序。代表语言有JavaScript、Python、PHP、Shell等。

三、免杀方法

3.1 修改特征码

​ 这个就是猜测杀软对哪几个字节进行查杀,再对应修改,现在几乎没啥人使用了,就算能用也是一次性的东西,意义不大。

3.2 shellcode加载器(当前主流)

​ 目前shellcode加载器是主流的方法,只要简单的加密shellcode执行就能绕过一些杀软。简单可以分为加载到内存的方式和加密方式。

3.3 反射dll加载

​ 反射dll加载主要是用在老远控如:灰鸽子,来代替shellcode做的工作。这个方法就是把dll加密,远程下载到内存中再解密执行,之后的流量免杀和内存免杀就需要修改源码了。这里必须说一句CobaltStrike的强大,它可以自定义流量和内存从而绕过杀软。

来源地址:https://blog.csdn.net/qq_38675102/article/details/128569675

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯