开启邀请码注册中,禁止灌水!发现一次永久禁言

墨客安全网

 找回密码
 立即注册

墨客安全网-新手入门指南 常见问题及帮助 | 做任务赚墨币币 新人报道 | 悬赏问答| 墨币充值| 帖子举报

墨客安全网-论坛精华合集 墨客安全网 -精华合集 之 速成之路 原创精品 | 加入墨客Vip | Vip工具| Vip教程

墨客安全网-进阶技术学习区 软件/工具| 社工专区 | 入侵检测| 技术文章 动画教程 | 编程交流| 免杀更新 | 程序源码

[悬赏公告] - 严查灌水,打造一个无水论坛,从即日起.请大家互相监督,发现恶意灌水的,请发贴举报,核实后会给予5-10的墨币奖励。
[官方公告] 从今日起所有会员发布工具必须到审核板块进行审核,如有违反永久禁言处理!
 [招聘招聘]-招聘各方面给力版主,要求每日发帖不少于3贴,每天在线时间6个小时以上,具体福利和待遇联系TG客服或者在线管理员
[官方公告]1.发现网盘下载地址失效!可以发贴举报 审核证实后给予奖励10-20墨币。2.即日起!不管是谁发贴!都不能带QQ群 已及个人QQ。个人网站,发现后严格处理。[官方业务]-加入墨客安全网Vip,圆你日抓千鸡梦,各种精品教程,免杀远控,压力测试等你拿,期待各位会员的加入,即可享受众多福利!
【官方公告】论坛所有广告均为商业行为,需要交易的请尽量走担保程序,所有因广告产生的任何纠纷请私下解决【站外广告】大量收色刷!刷单肉鸡!带飞机肉鸡!寻内网横向技术!懂的来,小白勿扰!长期包养色刷,刷单,带飞机海外盘国内盘灰产肉鸡稳定鸡商
联系飞机:@seeok91
【官方业务】精品广告位招租,需要请联系官方TG客服【官方业务】精品广告位招租,需要请联系官方TG客服【官方业务】精品广告位招租,需要请联系官方TG客服
查看: 334|回复: 2

[病毒木马知识] 浅谈免杀技术

[复制链接]

该用户从未签到

12

主题

373

回帖

2055

积分

UID
9170
威望
558 (点)
主题
12 (帖)
精华
0 (帖)
贡献
12  (次)
墨币
541  (枚)
活跃
229  (点)
担保币
0  (枚)
注册时间
2016-12-6
最后登录
2017-12-20
发表于 2017-5-28 20:11:09 | 显示全部楼层 |阅读模式
系统底层(Ring0 层)

现在病毒与反病毒都越来越深入系统底层。

软件是计算机中相对高层的,而硬件是底层的,越靠近底层拥有的权力就越大。

从计算机原理来说,计算机中有一个用于控制 CPU 完成各项功能的命令系统,它叫做 “指令系统”,指令系统将指令分为特权指令与普通指令。

只允许操作系统及其相关模块使用一些危险的指令(即绝大部分 特权指令)
普通的应用程序只能使用那些不会造成灾难的指令(即普通指令)

Intel 的 CPU 将特权级别分为 4 层,它们分别是 Ring0、Ring1、 Ring2 与 Ring3。

windows 只使用其中的两个级别:
Ring0(底层,内核层,只供操作系统使用,但使用一定的方法编程可“操控”Ring0 层的指令)
Ring3 层(用户层,谁都能用)

既能实现安全的访问控制,又能降低系统的设计成本与复杂程度。

杀毒技术

第一代扫描技术 高度概括为“在文件中检索病毒特征序列”

第二代扫描技术的代表为“近似精确识别法”与“精确识别法”,还有“智能 扫描法”与“骨架扫描法”

智能扫描法(大量变异病毒出现之后提出的)
忽略检测文件中像 NOP 这种无意义的指令。
而对于文本格式的脚本病毒或宏病毒,则可以替换掉多余的格式字符(空格、换行符或制表符等)
由于这一切替换动作往往是在扫描缓冲区中执行的,从而大大 提高了扫描器的检测能力。

缓冲区
应用程序运行前都需要加载到内存中,而缓冲区就是系统向运行的程序分配的一块动态的内存空间。它存在的主要目的就是为了节省内存的开销,加快程序的运行速度。

内存扫描
病毒被加载到内存,就要开始执行一些可疑操作了!(杀软 内存扫描组件 根据内存中的特征进行查杀)
所以即使文件免杀成功,但不做内存免杀,在运行中仍然被杀。

行为监控
原理:需要虚拟机等技术,分析病毒木马的可疑操作,当新生成的木马按照某种顺序执行某一系列的可疑操作,也会被杀。

执行以下操作的程序,基本判定为典型的木马:
1)释放一些文件到系统关键目录中
2)修改系统设置使这些新释放的文件可以自启动
3)删除自身
云查杀
云查杀极具挑战性:以服务器为脑,以所有用户的机器为触角,“可信继承,群策群力”。
(1)可信继承
整个云的信任机制的结构:包含用户参与的信任评价体系、反病毒专业人员参与的样本分析信任体系、服务端自动判断信任体系、基于数字签名的认证信任体系等。
其中,顶端的信任体系是由数字签名、样本分析构成的,这些顶端的信任体系在用 户的机器上表现出来的形式就是“根可信进程”。所谓的“根可信进程”就是指可信进程链条的顶端,凡是由可信进程开启的新进程都被认为是可信的。
例:假如进程 A 是具有数字签名的根可信进程,那么它在被用户直接执行时就不会触发反病毒软件的任何操作 ,而且由 A 进程创建的新进程也会成为可信进程。
例:如果进程 B 是一个非可信进程,那么它在被用户执行时就会受到严密的监控,它在执行期间有什么敏感操作,其样本马上就会被提交给服务器处理。
(2)群策群力
云计算具有分布性,而病毒木马的感染也具有分布性。
病毒木马感染的速度越快、感染的面积越广,则被云查杀捕获到的可能性就越大。
只要其中某一台计算机上发现新病毒,那么它马上就会被提交到服务端,所有在云中的计算机就都有了查杀能力。
双引擎查杀 / 多引擎查杀 扫描的准确度比单一反病毒引擎高。
反病毒技术前沿

目前反病毒技术应用得比较广泛的是“主动防御”与“云查杀”这两项,而这两项技 术中最为强大的环节就在于“虚拟机扫描技术”。

代码仿真(Code Emulation)技术 (“文件流查杀”思想的鼻祖)
一种极强大的病毒检测技术,很好地实现了一个程序运行所需要的基本虚拟环境,原理是通过一个虚拟机环境来仿真 CPU 和内存管理系统从而可在虚拟机进行代码执行过程。
当杀软决定将某个程序放到虚拟机中运行:将可执行文件的内容读取到内存缓冲区,由仿真器中一个庞大的 switch() 语句对各个指令操作码逐一分析, 最后执行。
代码仿真技术比较消耗系统资源:同样的一个应用程序,如果在虚拟机中运行,其执行速度可能会降低到原来的几百分之一!但纵然降低到原来的几百分之一,也没什么感觉,所以这种奢侈的查杀技术才得以推广。

文件流查杀
虽不需要模拟一个虚拟环境来运行病毒,但是它需要让病毒被人为地主动运行,当病毒运行时它会分析病毒释放到内存中的代码,直到病毒本来的代码被完全还原后才进行查杀,因此这种扫描算法虽不需要耗费大量的系统资源,但是却十分被动!

基于神经网络的启发式分析
未来计算机、病毒、反病毒软件都智能化。已经有人尝试了用神经网络来检测计算机病毒。“基于神经网络的启发式分析”技术将来可能会与启发式分析及云查杀合为一体,从而产生出高识别率、小特征库且低误报的扫描器。
研究者已经成功地用经过训练的神经网络检测出了复杂的 EPO 病毒(Entry-Point Obscuring,入口点模糊技术,这种技术的唯一目的就是免杀,利用这种技术编写的病毒具有极强的反探测、反查杀及反删除能力)。

神经网络的缺点:需要数量巨大的样本病毒供其分析学习,现阶段,能力的提高不是很明显。
优点:病毒越多,它的查杀效果就越令人满意。
由此可见,神经网络的启发式分析是否能得到用户的认可并长期存在于市场中,还得看它最终“学习效率”的高低。

PE 文件 可执行文件结构

,例如大家常用的 Windows
2000、Windows XP 等都是 Win32 环境

PE(Portable Executable,可移植的执行体)是 Windows 操作系统下的 32 位运行环境(简称Win32) 自身所带的可执行文件格式。

“可移植的执行体”意味着此文件格式是跨 Win32 平台的:即使 Windows 运行在非 Intel 的 CPU 上,任何 Win32 平台的 PE 装载器都能识别和使用该文件格式,所以所有 Win32 下的可执行文件也都必须使 用 PE 文件格式。

PE 文件在Windows 系统下直接以二进制形式被系统加载执行,如 .exe、 .dll、.sys、.ocx 等都遵守 PE 文件结构的约定。

PE 文件是在 32 位操作系统中诞生的,且与 64 位系统中的可执行文件格式基本相同。

对于黑客/反病毒工作者来说,透彻了解 “PE文件格式”是非常重要的基本功。

PE 文件的结构:由5 部分构成

PE 文件的结构:DOS 文件头、DOS 加载模块、PE 文件头、区段表、区段。

PE作为 Windows 下的一个文件格式,加上两个与 DOS 相关的结构完全是为了兼容性问题。
如果程序在纯 Windows 环境下运行,则 DOS(即 MS-DOS,此为简称)文件头与 DOS 加载模块是根本用不上的。PE 加载器会根据 DOS 文件头中的最后一个标志跳过 DOS 加载模块, 直接转到 PE 文件头上。

PE 文件的基本结构(以十六进制方式显示)


PE 文件的基本结构(以十六进制方式显示)
1.DOS 文件头
整个程序以 DOS 文件头的 MZ 标志位开始

2.DOS 加载模块
DOS 加载模块的标志性字符串 This program cannot be run in DOS mode。
前两个几乎就是恒定不变的,差不多每个 Windows 程序的前面都是这样一些信息。

3.PE 文件头
以字母 PE 为开头的文件块 即 PE 文件头。
PE 文件头体积size的描述标记:由图中画了横线的问号(与左面的十六进制信息 E0 对应),十六进制的 E0 等于十进制的 224,由此也不难看出 PE 文件头的大小为 224 个字节(PE 文件头的标准size为 224 字节。该描述并不严谨,先忽略这个问题,后续会详细探讨)

4.区段表
区段表(节表):由 .text、.data .rsrc 组成
区段表相当于一本书的目录,想看哪一章哪一节按着目录标注的页数去找。
区段表还附加了一些很有用的属性:例如读写权限 区段大小等。
区段表使 PE 加载器能准确快速地加载相应的区段。

通过区段名称可以大体猜出来这个区段里包含了些什么信息,在整个程序中能起到什么作用等。因为 PE 文件里的区段名称都是有相应的约定的,如果被人为地修改了就没有任何意义了。

5.区段

免杀原理

功能正常+破坏特征(文件特征码,行为特征码)

特征码,总体来说就是一种只在病毒或木马文件内才有的独一无二的特征( 是一段字符,或是在特定位置调用的一个函数)

校验和,也是根据病毒文件中不同的区块计算得来。

4 aaaa
5 xxxx
6 bbbb
校验和为123

改为
4 aaaa
5
6 bbbb
校验和345
新人必看帖,如何快速赚取墨币,了解墨客安全网论坛版规,等等...( 点我查看

如果你在论坛悬赏问答求助问题,并且已经从坛友或者管理的回复中解决了问题,请在帖子内点击(已解决)

发帖求助前要善用 论坛搜索 功能,如果搜不到可以试试,论坛顶上的 百度站内搜索 - 纵横站内搜索 那里可能会有你要找的答案;

如果发现论坛有灌水帖、下载地址失效帖、后门帖、广告帖、工具不能正常使用、都可以去 举报版块 发帖举报,核实给予退回墨币+额外的墨币奖励哦;

该用户从未签到

0

主题

79

回帖

465

积分

UID
10039
威望
138 (点)
主题
0 (帖)
精华
0 (帖)
贡献
0  (次)
墨币
110  (枚)
活跃
66  (点)
担保币
0  (枚)
注册时间
2017-5-28
最后登录
2017-9-16
QQ
发表于 2017-5-28 20:52:10 | 显示全部楼层
新人必看帖,如何快速赚取墨币,了解墨客安全网论坛版规,等等...( 点我查看

如果你在论坛悬赏问答求助问题,并且已经从坛友或者管理的回复中解决了问题,请在帖子内点击(已解决)

发帖求助前要善用 论坛搜索 功能,如果搜不到可以试试,论坛顶上的 百度站内搜索 - 纵横站内搜索 那里可能会有你要找的答案;

如果发现论坛有灌水帖、下载地址失效帖、后门帖、广告帖、工具不能正常使用、都可以去 举报版块 发帖举报,核实给予退回墨币+额外的墨币奖励哦;
  • TA的每日心情
    开心
    2018-6-8 12:22
  • 签到天数: 13 天

    连续签到: 1 天

    [LV.3]偶尔看看II

    13

    主题

    322

    回帖

    1656

    积分

    UID
    9299
    威望
    370 (点)
    主题
    13 (帖)
    精华
    0 (帖)
    贡献
    13  (次)
    墨币
    646  (枚)
    活跃
    176  (点)
    担保币
    0  (枚)
    注册时间
    2016-12-26
    最后登录
    2018-6-8
    QQ
    发表于 2017-5-29 20:04:16 | 显示全部楼层
    新人必看帖,如何快速赚取墨币,了解墨客安全网论坛版规,等等...( 点我查看

    如果你在论坛悬赏问答求助问题,并且已经从坛友或者管理的回复中解决了问题,请在帖子内点击(已解决)

    发帖求助前要善用 论坛搜索 功能,如果搜不到可以试试,论坛顶上的 百度站内搜索 - 纵横站内搜索 那里可能会有你要找的答案;

    如果发现论坛有灌水帖、下载地址失效帖、后门帖、广告帖、工具不能正常使用、都可以去 举报版块 发帖举报,核实给予退回墨币+额外的墨币奖励哦;
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    1、请认真发帖,禁止回复纯表情,纯数字等无意义的内容!帖子内容不要太简单!
    2、提倡文明上网,净化网络环境!抵制低俗不良违法有害信息。
    3、每个贴内连续回复请勿多余3贴,每个版面回复请勿多余10贴!
    4、如果你对主帖作者的帖子不屑一顾的话,请勿回帖。谢谢合作!

    关闭

    站长推荐上一条 /1 下一条