前言
最近在研究 免杀 内的问题,碰到一些相关问题,算是整理一下。
概述
远控源代码免杀过火绒,基于国内的杀毒软件的特征检查,大多数都是用的特征库类的去检查。
360的云引擎比较厉害,感觉火绒有点low。
杀毒原理解析
国内比较出名的有360、腾讯电脑管家、火绒、金山毒霸、瑞星等等,这几个杀毒软件,国内大多数应该都是火绒和360
国外的比较出名的火眼,诺顿,卡巴,微软自带的那个,
现在的杀毒软件都无法脱离三个部分,扫描器、病毒库、虚拟机。
然而一个杀毒软件做的是否好用,最主要的还是扫描器的速度、准确率以及病毒库是否庞大。
基于特征码的静态扫描技术
这种技术很容易被人想到,所以第一代的杀毒软件出现了,他们的杀毒思想就是,
我只要在特征库中匹配到已知的病毒特征字符串(一般都是 MD5值 )就可以判断出来这个文件是一个病毒。
但这种方法在当今病毒技术迅猛发展的形势下已经起不到很好的作用了。不好用就是已经过时了 火绒就是
用的这种技术。
基于特征码的云引擎查杀技术
国内 360 的云引擎查杀不得不说是真的厉害。 云引擎查杀,顾名思义就是扫描一个文件,带入到云端去扫描
360属于驱动级别的查杀,驱动级别简单理解:打个比方,你电脑中安装了360,它会监控你整个电脑的所有程序,
你的任务管理器里面的所有程序,包括程序后面续执行所有危险的操作,它都会监控。我记得以前打游戏的时候,
启动游戏360会自动进入一个游戏模式,360在平时会很占你的内存,因为360也会监控内存。
360 能检测驱动程序,内存,可执行程序。基本上360能监测很多了,它是基于云引擎查杀的,而火绒是基于特征库
监测的。
我所认知能拿shell的木马
个人现在所知道能拿shell的木马可分为:网马、驱动马、内存马、可执行程序马、
网马:网马就是上传到web服务器里面,主要以拿到webshell。
驱动马:听名字应该知道它的意思。简单理解就是,你的电脑启动的时候会启动驱动程序,而别人在你的驱动里面植入了木马,你启动电脑的时候,木马也会自动运行。
内存马:内存马原理大概上跟驱动马类似
可执行程序马:在你启动,或者点开执行一个程序的时候,它才回运行。一般来说你只要不点开它就没事儿。
木马其实就是执行一些高危的操作,或者是执行一些高危的权限的程序,木马在执行的时候会触发行为特征,本偏介绍的
就是如何过火绒免杀。
远控源码免杀
0x1
先生成一个木马.
0x2
查看查杀情况.可以看到报了风险详情.
0x3
下面来进行免杀.
fuck.dat 是远控生成木马的文件,把.dat免杀了,文件下面生成的所有小马都会免杀。
点开工具导入.dat文件,分块数量修改掉,点生成。
0x4
在文件夹中会有生成的20个文件,把它全部选中,右键查杀。
0x5
会发现有三个风险,给它处理掉。说明有三个是有木马特征的
0x6
点击二次处理,会在生成20个文件,然后再右键查杀会发现,未发现风险。说明这20个文件里面是没有特征的
0x7
特征区间会显示一个特征,但是这个不是他真实的特征。因为我们要定位到它后面的两位数或者三位数
0x8
右键复合定位,分块数量还是改成20,不然会生成很多个,不好定位。
0x9
复合定位后会生成后,还是一样接着在文件夹中查杀。在点击二次处理,一直二次处理,直到查不出来。
0x2x1
特征区间会出现两个特征码,接着复合定位。接着改成生成20,然后在查杀,在二次处理,直到查不出来。
0x2x2
一直复合定位,生成,查杀,二次处理,查杀。复合定位,生成,查杀,二次处理,查杀
直到查杀不出来,特征区间的特征码为002结尾,长度为2。 这个就是我们查杀出来的特征码
保存下来。
0x2x3
打开C32Asm,把.dat文件导入进去,辅助我们查找,输入刚才查到的两个特征码,看查杀的哪些地方。
0x2x4
把.dsw文件导入vc中,应为这款远控是c++写的,我们导入的这个文件,它是这款程序生服务端和客户端的源文件,
查找ServerDll,因为我们特征定位是查出来这两个位置被杀了。直接查找
0x2x5
在vc中查找刚才我们被杀的两个地方。
0x2x6
第一个改掉相关的关键字,第二个直接注释掉,没什么用的鸡肋功能。
0x2x7
最终版本,加上线。
