免杀对抗|特征码&加壳&资源 Bypass AV
来源于102次直播
预告:下一节文章
白名单技术&DLL注入
#知识点:
1、加壳技术
2、资源修改
3、特征码定位
#以下环境采用MSF或CS生成的Shellcode编译EXE测试
1、加壳 Bypass 某绒
原理解析:
1.不想让别人随便改动,即为了保护软件不被破解,通常都是采用加壳来进行保护。
2.需要把程序搞小一点。于是需要用到一些软件,它们能将exe可执行文件压缩。
3.给木马等软件加壳脱壳以躲避杀毒软件。实现上述功能,这些软件称为加壳软件。
利用工具:
UPX ASPack VMPoject等壳
2、资源+签名 Bypass 管家
原理解析:
通过修改执行文件的资源文件伪造正规文件达到欺骗,
如版权信息,数字签名,位图图标等信息,模拟正常安全文件。
利用工具:
Restorator 数据签名添加器
3、特征码修改 Bypass 管家&X60
原理解析:
特征码就是一种只在病毒或木马文件内才有的独一无二的特征,它或是一段字符,
或是在特定位置调用的一个函数。总之,如果某个文件具有这个特征码,那反病毒软件就会认为它是病毒。
反过来,如果将这些特征码从病毒、木马的文件中抹去或破坏掉,那么反病毒软件就认为这是一个正常文件了。
使用工具:
Myccl 支持多种格式文件定位 半自动
VirTest 只支持EXE格式文件定位 全自动
吃瓜请扫码:
文章版权声明:除非注明,否则均为蓝泺官网|IT研究实验室原创文章,转载或复制请以超链接形式并注明出处。
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。