免殺技術

基礎內容

---

殺毒軟件是如何檢測出惡意代碼的？

1.靜態分析方法就是在不運行惡意代碼的狀況下，利用分析工具對惡意代碼的靜態特徵和功能模塊進行分析的方法。靜態分析工具包括 ollyDump（GigaPede2009）、 W32DASM（URSoftware2009）、IDAPro（DataReseue2009）和HIEw（Suslikov2009）等。利用靜態分析方法，能夠分析出惡意代碼的大體結構，能夠肯定惡意代碼的特徵字符串、特徵代碼段等，還能夠獲得惡意代碼的功能模塊和各個功能模塊的流程圖。靜態分析方法是目前最主要的代碼分析方法，被普遍應用於惡意代碼分析和軟件安全測評工做中。
2.惡意代碼和其它正常代碼（benignsoftware）同樣，本質上來 說也是由計算機指令和非指令的數據構成的，根據分析過程是否考慮構成惡意代碼的計算機指令的語義，能夠把靜態分析方法分紅基於代碼特徵的分析方法和基於代 碼語義的分析方法兩種類型。
1）基於代碼特徵的分析方法
2）基於代碼語義的分析方法
3.動態分析方法
動態分析方法經過在可控環境中運行惡意代碼，全程監控代碼的全部操做，觀察其狀態和執行流程的變化，得到執行過程當中的各類數據。使用最普遍的可控環境就是 「虛擬機」 （Virtualizers），此環境和用戶的計算機隔離，代碼在被監控環境中的操做不會對用戶計算機有任何的影響。根據分析過程當中是否須要考慮惡意代碼 的語義特徵，將動態分析方法分爲外部觀察法和跟蹤調試法兩種。
1）外部觀察法
2）跟蹤調試法

免殺是作什麼

使用一些方法使得惡意程序不被殺軟和防火牆發現，避免被查殺。

免殺的基本方法有哪些

• 方法一:直接修改特徵碼的十六進制法
  1.修改方法:把特徵碼所對應的十六進制改爲數字差1或差很少的十六進制.
  2.適用範圍:必定要精肯定位特徵碼所對應的十六進制,修改後必定要測試一下能
  否正常使用.
• 方法二:修改字符串大小寫法
  1.修改方法:把特徵碼所對應的內容是字符串的,只要把大小字互換一下就能夠了.
  2.適用範圍:特徵碼所對應的內容必需是字符串,不然不能成功.
• 方法三:等價替換法
  1.修改方法:把特徵碼所對應的彙編指令命令中替換成功能類擬的指令.
  2.適用範圍:特徵碼中必需有能夠替換的彙編指令.好比JN,JNE 換成JMP等.
  若是和我同樣對彙編不懂的能夠去查查8080彙編手冊.
• 方法四:指令順序調換法
  1.修改方法:把具備特徵碼的代碼順序互換一下.
  2.適用範圍:具備必定的侷限性,代碼互換後要不能影響程序的正常執行

• 方法五:通用跳轉法
  1.修改方法:把特徵碼移到零區域(指代碼的空隙處),而後一個JMP又跳回來執行.
  2.適用範圍:沒有什麼條件,是通用的改法,強烈建議你們要掌握這種改法.

  文件免殺方法：

• 加冷門殼
• 加花指令
• 改程序入口點
• 改木馬文件特徵碼的5種經常使用方法

• 還有其它的幾種免殺修改技巧

---

免殺實驗

---

工具Veil-Evasion

結果