简介:为了让自己的电脑在日常工作中更加安全,很多新手都会下载多种杀毒软件进行定期查杀。 他们觉得电脑一定很安全木马软件能杀病毒吗,于是就肆无忌惮地浏览一些不适合儿童的网站,甚至主动或被动地下载。 有些乱七八糟的软件,那么杀毒软件真的能查杀所有病毒木马吗? 在这篇文章中,我们将详细解释木马病毒如何伪装自己不被杀毒软件检测到。
什么是不杀生?
防病毒,与防病毒(AntiVirus)和反间谍软件(AntiSpyware)相对立,英文称为Anti-AntiVirus(缩写为Virus AV),直译为“反防病毒”,译为“反病毒技术”。
反病毒技术分类 二进制反病毒(无源代码)只能通过修改asm代码/二进制数据/其他数据来实现。 利用源代码进行防病毒保护可以通过修改源代码来实现,也可以与二进制防病毒技术相结合。
防病毒软件如何提取文件签名?
扫描时,首先获取文件各节的特征(节大小+节哈希值),然后进行哈希,得到类似于MD5的字符串。 然后比较这个哈希值字符串的第一个字母,第一个字母范围是0-9,AF。 根据首字母对单独的病毒数据库进行匹配。 你为什么要这么做? 只是为了提高扫描速度。 原来的200万个特征码需要匹配200万次。 初始字母分离后,只需匹配200/16,大约12万次。 这相当于效率提高了 16 倍。 通俗地说,就是不要用一个文件的所有内容来计算hash。 而是通过分片木马软件能杀病毒吗,取出一些重要的(难以改变的)内容进行哈希计算。 这样就可以通过特征码找到类似的病毒变种。
如何快速找到签名?
常见的特征码定位工具有CCL和MYCCL。 该工具的总体原理是对文件进行分割,并在某些分割部分填充数据(0)。 如果扫描该部分没有检测到报警,则特征码在该部分。 重复此操作,直到找到一小段内容。 不同的工具使用不同的分割算法,并且在查找签名方面有不同的结果。
这里给大家推荐最新的特征代码定位软件VirTest。
官方介绍:我们可以假设病毒上报流程是这样的。 如果检测文件为PE,则CODE位置有标志A,DATA位置有标志B,资源位置有标志C。 如果同时满足这三个条件,那么该软件就会被杀死。 会报告病毒,VIRTEST的工作原理是找到导致病毒报告的最后一个标志,即假设的标志C。
因此,VIRTEST采用2点排除法来测试标记C所在文件的位置。 由于被杀死的文件可能有多个类似于ABC的链条件,所以我们必须使用排除机制,首先找到最接近的文件的前链条件,排除文件的尾部数据。 当找到第一链条件时,擦除索引标记C并恢复尾部数据。
然后继续测试其他链条件,直到找到最后一个链条件。 擦除后,整个文件免杀,这意味着特征代码已经被定位,所以VIRTEST绝对可以准确定位所有复合特征。
我找到了特征码,如何避免被杀?
找到特征码后,只需更改特征码的值即可避免查杀成功。 常用的修改工具有OD、C32ASM、UE、010Editor等。
无需源码修改:
如果特征代码定位了数据(通过IDA/OD等确认),修改此类特征代码很容易导致软件无法运行、无法打开,或者影响程序运行过程或结果。
1. 数据
对于字符串,如果不影响程序逻辑,可以替换大小写; 如果数据无关紧要,可以随意替换。 整数,如果不影响结果,则替换该值,清零等。 PE头数据,根据具体的PE结构,无用的数据被清除或修改,有用的数据根据情况修改。 最后,最终的修改方法是找到访问数据的代码,直接修改代码访问数据的地址。 数据也可以放置在其他地址。
2. 代码
如果特征代码定位到代码(也通过IDA/OD等确认),可以在不改变程序功能的情况下采用各种方法进行修改。 汇编代码的等价替换,如mov eax,0可以用xor eax,eax替换,直接结果是一样的,只是二进制代码不同。 交换代码顺序而不影响逻辑。 代码块移位将代码块移动到未使用的内存位置,并通过添加 jmp addr 来跳过执行。 addr 是新的代码块地址。
修改是否有源代码:
当有源代码时,修改方法更加灵活和简单。
如果特征代码是数据,则修改数据位置、访问数据的代码位置等(类比非源码方法)。
添加指令是最有效也是最常用的方法。 关键是如何添加指令。
加上数据计算代码,加减乘除的各种组合。
添加字符串操作代码,进行添加、删除、查找、替换等操作。
添加多级跳转,并在跳转之间添加无效指令(不会被执行)。
添加看似有效的API调用,例如LoadLibrary+GetProcAddr+API等。
