846人加入学习
(36人评价)
Kali Linux安全测试

爆款好课 NO.1

价格 ¥ 599.00
该课程属于 武官课程 请加入后再学习

恶意软件逃避安全软件检查的技术

防病毒软件

恶意程序最主要的防护手段

    杀毒软件/防病毒软件

    客户端/服务器/邮件防病毒

检测原理

    基于二进制文件中特征签名的黑名单检测方法

    基于行为的分析方法(启发式)

事后手段

    永远落后于病毒发展

 

免杀技术

    修改二进制文件中的特征字符

       替换、擦除、修改

   加密技术(crypter)

       通过加密使得特征字符不可读,从而逃避AV检测

       运行时分片分段的解密执行,注入进程或AV不检查的无害文件(txt、mp3、jpg、pdf)中 

   防病毒软件的检测

       加密之后恶意程序本身的特征字符无法被检测出,转而检查加密器crypter的特征字符

 

当前现状

恶意软件制造者

     编写私有RAT,避免普遍被AV所知的特征字符

     使用独有crypter软件加密恶意程序

     处事低调、尽量避免被发现

     没有能力自己编写恶意代码的黑客,通过直接修改特征码的方式免杀

     Fully UnDetectable(全免杀)是最高追求(FUD)

AV厂商

   广泛采集样本,更新病毒库

   一般新的恶意软件安全UD窗口期是一周左右

   与恶意软件制造者永无休止的拉锯战

   新的启发式检测技术尚有待完善(误杀漏杀)

 单一AV厂商的病毒库很难达到百分百覆盖

 

同时提供多种AV的在线扫描与AV厂家共享信息

   https://www.virustotal.com/ #有的国家的AV软件直接调用它的API,软件厂家本身并没有病毒库 

   http://www.virscan.org/  

 

搞黑的在线多引擎查毒站

   https://nodistribute.com/
   http://viruscheckmate.com/check/ 

常用RAT软件

  灰鸽子、波尔、黑暗彗星、潘多拉、namocore

[展开全文]