深圳建设工程交易服务网站青岛做网站大公司

深圳建设工程交易服务网站,青岛做网站大公司,久久建筑网高空坠落专项应急预案,react是网站开发免杀技术全称为反杀毒技术Anti Anti- Virus简称“免杀”#xff0c;它指的是一种能使病毒木马免于被杀毒软件查杀的技术。由于免杀技术的涉猎面非常广#xff0c;其中包含反汇编、逆向工程、系统漏洞等黑客技术#xff0c;所以难度很高#xff0c;一般人不会或没能力接触这…免杀技术全称为反杀毒技术Anti Anti- Virus简称“免杀”它指的是一种能使病毒木马免于被杀毒软件查杀的技术。由于免杀技术的涉猎面非常广其中包含反汇编、逆向工程、系统漏洞等黑客技术所以难度很高一般人不会或没能力接触这技术的深层内容。其内容基本上都是修改病毒、木马的内容改变特征码从而躲避了杀毒软件的查杀。1、杀毒原理浅析1.1 基于特征码的静态扫描技术早期基于特征码的静态扫描技术比较普遍。特征码是反病毒公司在分析病毒时逐个与程序文件比较确定的只有该病毒才可能会有的一系列二进制串根据从病毒体中提取的病毒特征码可以与其它病毒或正常程序区别开来。但这种方法在当今病毒技术迅猛发展的形势下已经起不到很好的作用。1.2 基于行为检测的反病毒技术行为检测通过hook关键api以及对各个高危的文件、组件做监控防止恶意程序对系统修改。只要恶意程序对注册表、启动项、系统文件等做操作就会触发告警。最后行为检测也被应用到了沙箱做为动态检测对于避免沙箱检测的办法有如下几个延时部分沙箱存在运行时间限制沙箱检测对诸如硬盘容量、内存、虚拟机特征做检测部分沙箱会对文件重命名可以检测自身文件名是否被更改1.3 基于内存扫描的反病毒技术内存扫描器一般与实时监控型扫描器协作从理论上来讲反病毒软件的文件扫描组件能识别的病毒内存扫描器也能识别。但是不能从而武断地认为它们用的就是同一套特征码。就算对一个木马文件免杀成功如果不对其做内存免杀大多数在运行中的木马文件仍然会被反病毒软件杀掉。作为病毒来讲被加载到内存就证明它要开始执行一些动作了在病毒或木马初始化运行环境的时候会让更多的可疑点暴露出来。1.4基于新兴技术的反病毒技术当前较新的反病毒技术包括“主动防御”、“云查杀”、“可信继承”等等。云查杀基本思路就是以服务器为脑以所有用户的机器为触角从而使得服务器可以随时知道每个用户的情况如果其中某一个用户与其他用户对比发生了异常那么服务器就会发出指令让发生异常的机器检查出问题所在并将问题反馈给服务器从而在这个问题干扰到其他用户之前将其扼杀掉。在这其中又发展出了可信继承顶端的信任体系是由数字签名、样本分析构成的这些顶端的信任体系在用户的机器上表现出来的形式就是“根可信进程”。所谓的“根可信进程”就是指可信进程链条的顶端凡是由可信进程开启的新进程都被认为是可信的。2、免杀技术2.1 修改特征码所谓特征码就是防毒软件从病毒样本中提取的不超过64字节且能代表病毒特征的十六进制代码。主要有单一特征码、多重特征码和复合特征码这三种类型。既然杀毒软件在最开始时使用了病毒特征码概念那么我们可以通过修改病毒特征码的方式躲过杀软扫描。2.2 花指令免杀花指令免杀。花指令是设计者特意构思的它最根本的思想就是希望在反汇编时出错并为反病毒人员设下陷阱。而如果花指令可以成功保护软件真正代码不被轻易反汇编那么对于反病毒软件来说它所检测的自然也就不是木马文件中真正的内容了。花指令可能会用到各种指令例如jmp, call, ret的一些堆栈技巧位置运算等等。2.3 内存免杀技术反病毒软件的内存扫描原理与文件扫描原理都是通过特征码比对只是大多数反病毒公司的内存扫描与文件扫描采用的不是同一套特征码所以只需要这两套特征码全部绕过就能躲过反病毒软件的查杀。内存免杀技术大多数只需要使用“ShellCode加载器”就可以达到很好的免杀效果内存免杀后门大部分基于“VirtualAlloc”函数申请内存使用shellcode加载器将shellcode直接加载进内存避免文件落地就可以绕过文件扫描。对比修改特征码加花指令等需要对PE结构有一定的认知以及汇编基础知识来说内存免杀技术简单、高效、免杀效果显著使该项技术成为了安全攻防领使用最多的免杀技术。3、免杀技术具体实现3.1 特征码修改特征码是文件中的某一串二进制代码这个代码会被杀毒软件识别为木马病毒。想要确定特征码的位置可以利用myccl将00覆盖到文件中如果此时文件不报毒说明覆盖的地方存在特征码。如M为特征码存在在某一段中 aaaaa aMaaa aaaaa myccl将代码覆盖生成三个文件 aaaaa aaaaa aaaaa\------ aMaaa aMaaa\------ ------ aaaaa 不报毒 报毒 报毒 说明特征码在后面两个文件中继续缩小范围得到特征码详细的可以用二进制查看的工具就可以知道myccl的工作原理继续这个过程得到特征码的准确位置当然特征码可能有很多个还会有复合型特征码还是要看具体看情况去分析。这里以nc(netcat)为例通过修改nc的特征码达到免杀效果。需要用到的工具有myccl火绒nc和C32asm。起始位置可以自己定数量选100长度会自动算好点一下生成会在被选中的文件同目录下生成OUTPUT文件夹。第一段0000是文件的序号第二段是文件开始的位置第三段是单位长度。第二个文件是0001这里应该是文件名排序的问题E017F就是第二个文件的开始。接下来对文件夹杀毒然后把扫出有毒的文件删除点击二次处理提示找到特征码是否继续点击yes继续扫描文件夹发现没有报毒。点击特征区间,右键复合定位此处特征码。可以看到缩小了特征码的范围这里的数量也是可以改的继续改成100重复之前的操作。生成-扫描文件夹-删除报毒文件-二次处理-发现没有报毒-复合定位特征码。现在范围已经确定在两个字节内了可以不用在继续缩小范围用C32asm打开文件将NC拖入然后以十六进制打开文件找到00006678的位置后面的两个字节就是特征码。可以看到是一个中括号和一个换行符把中括号修改一下随便换个符号修改好后另存为一下看看这个修改后的文件能不能使用help界面的输出被修改了。最后成功通过了杀软测试这就是针对特定杀软通过修改特征码通过扫描文件夹-删除报毒文件-二次处理-发现没有报毒-复合定位特征码-修改特征码-通过杀软这个流程达到免杀的方法。3.2 花指令在介绍花指令之前让我们先来了解一些免杀必备的汇编知识栈栈是一种数据结构记住四个字先进后出。压栈就是把数据放入栈中从栈顶放入出栈的时候也是从栈顶取出所以会有先进后出的特点先进后出我们可以这样理解例如一个乒乓球筒我们放入乒乓球然后取出乒乓球取出的都是就后放进的球。就如我们放入球的顺序是球1、2、3、4取出的顺序是球4、3、2、1。push 压栈 pop 弹栈 mov a,b 把b的值送给a nop 无作用就是什么也没做 retn 从堆栈取得返回地址并跳到该地址执行下面是一些算术运算指令ADD 加法 sub 减法 inc 加1 dec 减1跳转指令JE 等于则跳转 JNE 不等于则跳转 JZ 为 0 则跳转 JNZ 不为 0 则跳转 JS 为负则跳转 JNS 不为负则跳转 JC 进位则跳转 JNC 不进位则跳转 JO 溢出则跳转 JNO 不溢出则跳转寄存器寄存器是中央处理器内的其中组成部分。寄存器是有限存贮容量的高速存贮部件它们可用来暂存指令、数据和位址。我们需要了解的是8个通用寄存器EAXEBXECXEDXESIEDIEBPESP这些就是我们需要掌握的一些指令可能看不明白下面会详细讲解。此处举例分析几种简单的花指令第一种花指令特征先有一个push 操作然后jmp到一个CallCall后面跟一个POP56 EB 272B A6 F1 CC 7E 25 31 96 23 39 7D B0 18 5A 1B D7 5E CB5E FF E62B A6 F1 CC 7E 25 31 96 23 39 7D B0 18 5A 1B D7 5E CB **E8 E6 FF FF FF 5E**原理push D(寄存器) 1.先push esi(使用一个参数保留环境,这里也可以push eax-edi等寄存器) jmp C(偏移) 2.通过EB xx的jmp偏移指令跳转至精心构造的偏移xx处也就是Call call B() 3.特定E8的Call指令回退调用(Call 1.push 下一条指令的地址A。2.jmp 函数地址B) pop D,jmp D 4.此时pop esi 就把地址A从堆栈中push出来然后jmp esi就跳转至地址A pop D 5.再次pop esi 的目的在于还原环境第二种花指令原理通过无效指令如CLC,CLD,FNOP。以及无效跳转mov 寄存器,A;cmp 寄存器,A;JNZ 迷惑跳转;来迷惑杀软或者病毒分析人员让程序不被轻易反汇编那么对于反病毒软件来说它所检测的自然也就不是木马文件中真正的内容了3.3 内存免杀技术看一个简单的ShellCode加载器int main(){ unsigned char buf[] shellcode; void* exec VirtualAlloc(0, sizeof buf, MEM_COMMIT, PAGE_EXECUTE_READWRITE); memcpy(exec, buf, sizeof buf); ((void(*)())exec)(); return 0; }这里我们将进行代码的逐行分析该段中需要重点关注的两个函数(1VirtualAlloc2memcpy1VirtualAlloc是一个Windows API函数它的作用是调用进程的虚地址空间预定或者提交一部分页。简单点的意思就是申请内存空间要让Shellcode执行起来需要先把它放到内存中该函数的函数声明如下LPVOID VirtualAlloc( LPVOID lpAddress, SIZE_T dwSize, DWORD flAllocationType, DWORD flProtect );lpAddress:分配内存区域的地址如果为null将由系统来分配。dwSize:要分配或者保留的区域大小这个参数以字节为单位。flAllocationType:这个数值有三个可选择MEM_COMMITMEM_RESERVEMEM_RESET一般都是用MEM_COMMIT。flProtect:指定了被分配区域的访问保护方式这里使用PAGE_EXECUTE_READWRITE表示赋予该区域可读可写可执行权限。2memcpy指的是C和C使用的内存拷贝函数简单来说就是把恶意代码放到刚开的内存中。memcpy(exec, buf, sizeof buf);第一个参数exec是存储复制内容的地址强制转换为void*指针。第二个参数buf是要复制到第一个参数里面的数据强制转换为void* 指针。第三个参数sizeof buf是要被复制的字节数。通过分析ShellCode加载器可以看出该技术的原理主要就是基于VirtualAlloc函数申请内存并通过参数flProtect指定被分配区域的访问保护方式比如PAGE_EXECUTE_READWRITE使得区域可以执行代码应用程序可以读写该区域这样就可以构造恶意代码进行命令执行,读取写入等操作。接下来我们理解这个语句((void(*)())exec)();首先要知道C语言的强制类型转换float n 3.14; (int)n;C语言的强制类型转换就是在要转换的参数前面加上 (类型)现在再了解一下函数指针void hello(){ printf(helloworld); } int main(){ hello(); //简化调用 (*hello)(); //标准调用 return 0; }hello是一个返void类型的函数hello的声明是· void (*hello)()看到了声明就可以得到这个函数类型的类型转换符了 void(*)()然后加上前面的强制类型转换( (void(*)()) exec)();这句代码的意思就是把exec强制转换为一个返回void类型的函数指针然后执行就成功执行了ShellCode接下来就可以自由发挥写一些混淆了。4、总结本文主要介绍了常见杀毒技术与免杀技术的基础概念以及一些常见免杀技术的实现手法。免杀技术可深可浅刚接触免杀并想深入学习的同学建议从汇编语言、Windows编程等基础学起。如果只作为自己众多技术点中的一环希望拿来就能用的话建议直接使用ShellCode加载器简单高效但要注意时效性噢。网络安全学习资源分享:给大家分享一份全套的网络安全学习资料给那些想学习 网络安全的小伙伴们一点帮助对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。因篇幅有限仅展示部分资料朋友们如果有需要全套《网络安全入门进阶学习资源包》请看下方扫描即可前往获取