恶意软件逃避安全软件检查的技术
防病毒软件
恶意程序最主要的防护手段
杀毒软件/防病毒软件
客户端/服务器/邮件防病毒
检测原理
基于二进制文件中特征签名的黑名单检测方法
基于行为的分析方法(启发式)
事后手段
永远落后于病毒发展
免杀技术
修改二进制文件中的特征字符
替换、擦除、修改
加密技术(crypter)
通过加密使得特征字符不可读,从而逃避AV检测
运行时分片分段的解密执行,注入进程或AV不检查的无害文件(txt、mp3、jpg、pdf)中
防病毒软件的检测
加密之后恶意程序本身的特征字符无法被检测出,转而检查加密器crypter的特征字符
当前现状
恶意软件制造者
编写私有RAT,避免普遍被AV所知的特征字符
使用独有crypter软件加密恶意程序
处事低调、尽量避免被发现
没有能力自己编写恶意代码的黑客,通过直接修改特征码的方式免杀
Fully UnDetectable(全免杀)是最高追求(FUD)
AV厂商
广泛采集样本,更新病毒库
一般新的恶意软件安全UD窗口期是一周左右
与恶意软件制造者永无休止的拉锯战
新的启发式检测技术尚有待完善(误杀漏杀)
单一AV厂商的病毒库很难达到百分百覆盖
同时提供多种AV的在线扫描与AV厂家共享信息
https://www.virustotal.com/ #有的国家的AV软件直接调用它的API,软件厂家本身并没有病毒库
http://www.virscan.org/
搞黑的在线多引擎查毒站
https://nodistribute.com/
http://viruscheckmate.com/check/
常用RAT软件
灰鸽子、波尔、黑暗彗星、潘多拉、namocore