前言

參考SecretTeam安全團(tuán)隊(duì)的學(xué)習(xí)記錄

什么是免殺?

免殺（Bypass AV, Anti-Virus Evasion）是指惡意軟件通過各種手段規(guī)避殺毒軟件和安全檢測系統(tǒng)的識別和攔截，從而在目標(biāo)系統(tǒng)中成功執(zhí)行。這種技術(shù)不僅用于惡意軟件的傳播，也被信息安全研究人員用來測試和提升安全防護(hù)系統(tǒng)的能力。根據(jù)有無源碼，免殺可以分為以下兩種情況：

• 二進(jìn)制免殺

直接對一個(gè)二進(jìn)制程序進(jìn)行免殺，通過修改數(shù)據(jù)，加殼加花，定位修改特征碼等等黑盒方式

• 源碼免殺

通過修改源碼來進(jìn)行免殺（大概率成為今后免殺的主流）

直接對一個(gè)二進(jìn)制程序來進(jìn)行免殺技術(shù)難度較高，免殺效果也不好，所以通常將二進(jìn)制程序轉(zhuǎn)換成一段shellcode，使用加載器來執(zhí)行shellcode的方式來進(jìn)行從無源碼免殺向有源碼免殺的轉(zhuǎn)換，根據(jù)免殺階段還分為以下兩個(gè)階段：

• 靜態(tài)免殺

靜態(tài)免殺主要是為了抵抗殺毒軟件的靜態(tài)掃描，殺毒軟件的靜態(tài)掃描一般會通過提取文件中的一段特征串來與自身的病毒庫中的特征碼進(jìn)行對比來判斷該文件是否為惡意文件，因此我們一般圍繞修改或是掩蓋文件的特征碼來實(shí)現(xiàn)靜態(tài)免殺

• 動(dòng)態(tài)免殺

動(dòng)態(tài)免殺主要是為了抵抗殺毒軟件的動(dòng)態(tài)查殺，如內(nèi)存掃描，行為分析等

殺軟特性

360

360有點(diǎn)全能了，在國內(nèi)基本各個(gè)方面都是頂尖
報(bào)毒特征

HEUR/Malware.QVM06.Gen 一般情況下加數(shù)字簽名可過
HEUR/Malware.QVM07.Gen 一般情況下?lián)Q資源
HEUR/Malware.QVM13.Gen 加殼了
HEUR/Malware.QVM19.Gen 殺殼 （lzz221089提供 ）
HEUR/Malware.QVM20.Gen 改變了入口點(diǎn)
HEUR/Malware.QVM27.Gen 輸入表
HEUR/Malware.QVM18.Gen 加花
HEUR/Malware.QVM05.Gen 加資源，改入口點(diǎn)
QVM07加資源一般加到2M會報(bào)QVM06
再加數(shù)字簽名，然后再慢慢減資源，這個(gè)方法對大部分木馬有效果。
QVM06 加數(shù)字簽名
QVM12殺殼
QVM13殺殼
QVM27殺輸入表
QVM19 加aspack
QVM20就加大體積/加aspack壓縮

金山毒霸

金山走的是云安全，云防護(hù)，云鑒定這些云安全路線，所以，斷了網(wǎng)后金山就是個(gè)廢

江民

主要是對特征碼和資源進(jìn)行定位查殺

瑞星

主要是主動(dòng)防御查殺

卡巴斯基

非常變態(tài)的一款殺軟，誤報(bào)低，查殺率高，特征碼+輸入表變態(tài)查殺+靜動(dòng)態(tài)啟發(fā)式+強(qiáng)力的虛擬機(jī)脫殼技術(shù)。人類已經(jīng)無法阻止卡巴斯基的輸入表查殺了，在反匯編下，你無論對輸入表怎么重建，移位都不行，需要進(jìn)行手動(dòng)異或加密。

小紅傘，木傘

小紅傘的特征碼定位抗干擾技術(shù)和啟發(fā)式比較好

火絨

主要是主動(dòng)防御這塊，靜態(tài)查殺也比較嚴(yán)格，不過很好做免殺

Windows Defender

靜態(tài)查殺能力較強(qiáng)，動(dòng)態(tài)查殺較強(qiáng)，監(jiān)控 HTTP 流量

殺軟的查殺方式

特征碼

特征碼是什么？特征碼就是病毒分析師從病毒中提取的不大眾化的不大于64字節(jié)的特征串。通過判斷是否有這個(gè)特征字符串從而確定是否為病毒。通常為了減少誤報(bào)，一個(gè)病毒會取數(shù)個(gè)特征碼。舉個(gè)例子，一款很出名的木馬，它的名字就能被當(dāng)作特征碼。

靜態(tài)啟發(fā)式

靜態(tài)啟發(fā)式即對整個(gè)軟件進(jìn)行分析，殺軟會指定一系列的規(guī)則，然后對軟件進(jìn)行掃描，當(dāng)掃描出匹配這些規(guī)則的字符串等等之類時(shí)，殺軟會將軟件標(biāo)記成懷疑對象，匹配到的規(guī)則越多，軟件的可疑程度越高，到一定程度，就成了惡意軟件了

動(dòng)態(tài)啟發(fā)式

動(dòng)態(tài)啟發(fā)式又叫虛擬機(jī)查殺技術(shù)，會模擬出一個(gè)近似于windows的系統(tǒng)，殺軟將軟件放入這個(gè)虛擬機(jī)運(yùn)行，監(jiān)測它的行為，如果操作越可疑，就越容易被定為病毒

HIPS

HIPS可以說是主動(dòng)防御，何為主動(dòng)防御，一個(gè)病毒或木馬如果通過了表面查殺，那么主動(dòng)防御就是最后一道防線，HIPS主要是對一個(gè)軟件運(yùn)行時(shí)的操作進(jìn)行檢測，如果發(fā)現(xiàn)軟件有注冊表操作，加載驅(qū)動(dòng)這些一般程序不應(yīng)操作的操作時(shí)，那么他就會以他R0級的優(yōu)勢，攔截掉并將程序暫停運(yùn)行，也就是掛起，詢問用戶是否進(jìn)行該操作。

云查殺

殺軟那里有一套規(guī)則，如果一個(gè)軟件觸犯了這些規(guī)則，則殺軟會上報(bào)至云服務(wù)器，到了云服務(wù)器后，則會對上報(bào)文件進(jìn)行鑒定，可能會是人工鑒定，這樣的效果比殺軟查殺效果要好得多。那么如果分析出這個(gè)程序是病毒，那么就會將這個(gè)程序的MD5發(fā)生至云中心，用戶在聯(lián)網(wǎng)狀態(tài)下殺毒的話，就與云中心核對MD5，如果對上了，無條件認(rèn)定為病毒。相當(dāng)于安裝了殺軟的所有用戶給云上提供素材，一旦素材在一臺電腦上被認(rèn)定為病毒，則所有安裝了該殺軟的用戶都會查殺這個(gè)素材

免殺中的術(shù)語

API

泛指Windows的API函數(shù)，Windows編程中的內(nèi)容。Windows API是一套用來控制Windows的各個(gè)部件的外觀和行為的預(yù)先定義的Windows函數(shù)，對Windows系統(tǒng)中的東西進(jìn)行操作都會用到API，比如我移動(dòng)個(gè)鼠標(biāo)，點(diǎn)擊個(gè)鍵盤都會有相對于的API函數(shù)

花指令

一段無意義的代碼，用來迷惑殺軟或則其它的反匯編工具，例如在匯編里：add eax, 1; sub eax, 1
就這種添加了代碼，但對整體并無影響的代碼就是花指令，當(dāng)然我這里只是簡單的示范，真正的花指令沒有這么簡單

輸入表（導(dǎo)入表）

輸入表就相當(dāng)于EXE文件與DLL文件溝通的鑰匙，形象的可以比喻成兩個(gè)城市之間交流的高速公路，所有的導(dǎo)入函數(shù)信息都會寫入輸入表中，在PE 文件映射到內(nèi)存后，Windows 將相應(yīng)的DLL文件裝入，EXE 文件通過“輸入表”找到相應(yīng)的DLL 中的導(dǎo)入函數(shù)，從而完成程序的正常運(yùn)行，這一動(dòng)態(tài)連接的過程都是由“輸入表”參與的。

區(qū)段

PE結(jié)構(gòu)中的區(qū)段，.data .text等等，保存代碼，數(shù)據(jù)等等

加殼

加殼分為加壓縮殼和保護(hù)殼〔加密殼〕壓縮殼是目的是使程序變小，但沒有防止被反破解的作用。保護(hù)殼恰恰相反，保護(hù)殼的目的是使程序盡量防止被反匯編，但好的保護(hù)殼會給程序植入大量垃圾代碼，以干擾破解版者，所以程序會變大。

反啟發(fā)

即加入對殺軟的啟發(fā)式干擾的代碼

隱藏輸入表

通過自定義API的方式隱藏導(dǎo)入表中的惡意API

混淆

這是一種將代碼轉(zhuǎn)換為難以理解的形式的技術(shù)，使得分析者難以從字節(jié)碼中理解程序的邏輯?；煜梢詰?yīng)用于源代碼、編譯后的代碼或二進(jìn)制文件

代碼注入

將惡意代碼注入到合法程序中，使得惡意代碼在合法程序的執(zhí)行過程中被執(zhí)行，從而避開殺毒軟件的檢測。

內(nèi)存執(zhí)行

惡意代碼不在磁盤上留下痕跡，而是直接在內(nèi)存中執(zhí)行，這樣可以減少被殺毒軟件掃描到的機(jī)會

文件加密

將惡意文件加密存儲，只有在執(zhí)行時(shí)才解密，這樣可以避免殺毒軟件通過文件內(nèi)容進(jìn)行檢測。

多態(tài)

生成多個(gè)變種的惡意代碼，每種變種都有不同的特征，使得殺毒軟件難以通過單一的特征碼來識別。

行為混淆

通過改變程序的行為模式，使得惡意行為看起來像是正常行為，從而避開基于行為分析的檢測

0day

利用操作系統(tǒng)或應(yīng)用程序的0day漏洞來執(zhí)行惡意代碼，殺毒軟件無法檢測到

簽名

使用合法的數(shù)字證書簽名惡意軟件，以欺騙用戶和殺毒軟件，使其看起來像是可信的軟件

沙箱逃逸

沙箱是一種檢測惡意軟件的環(huán)境，它模擬了一個(gè)安全的執(zhí)行環(huán)境。沙箱逃逸技術(shù)是指惡意軟件能夠檢測到自己是否在沙箱中運(yùn)行，并在檢測到沙箱時(shí)改變行為，以避免被檢測。

利用系統(tǒng)服務(wù)

通過操作系統(tǒng)服務(wù)來執(zhí)行惡意行為，因?yàn)橄到y(tǒng)服務(wù)通常具有較高的權(quán)限，可以繞過一些安全措施

利用云服務(wù)

將惡意代碼或數(shù)據(jù)存儲在云服務(wù)上，通過云服務(wù)來分發(fā)或執(zhí)行惡意行為，這樣可以分散風(fēng)險(xiǎn)并增加檢測難度

殺軟報(bào)毒命名規(guī)則

殺毒軟件的報(bào)毒基本遵循一套原則，就是CARO原則，由反病毒專家聯(lián)盟 CARO提出，遵循以下格式：
<威脅類型>.<平臺>.<惡意軟件系列>.<變體>.<其他信息*>
卡巴斯基在此基礎(chǔ)上添加了前綴：

[前綴:]<威脅類型/行為>.<平臺>.<惡意軟件家族><.變體><其他信息>

前綴

該前綴標(biāo)識檢測到該對象的子系統(tǒng)。
前綴HEUR：用于表示啟發(fā)式分析器檢測到的對象；
前綴PDM：用于表示主動(dòng)防御模塊檢測到的對象。
前綴不是全名的必需部分，并且可能不存在。

行為

威脅類型/行為代表主要威脅類別，描述威脅的主要行為是什么

1. 對于惡意軟件：Trojan（木馬）、Worm（蠕蟲）、Virus（病毒）、Ransomware（勒索軟件）、Coinminer（挖礦） 和Backdoor（后門）是我們最常見的威脅類型。

2. 對于灰色軟件：Adware廣告軟件、Spyware間諜軟件和 PUA 是最常見的威脅類型。

平臺

通常指win32，x64，linux，mac os

家族

用于表示一組具有相同來源（作者、源代碼）、操作原理或有效負(fù)載的檢測到的對象。每個(gè)家族都是根據(jù)其表現(xiàn)的行為來命名的。常見的就是：Generic、Infector、AntiAV、KillFiles等。

變體

為了識別一個(gè)家族中不同惡意軟件的變體，字母按順序使用并稱為變體，從“.a”開始：“.a”-“.z”、“.aa”-“.zz”等

報(bào)毒案例

HEUR:Worm.[Platform].Generic此分類涵蓋的對象在遠(yuǎn)程計(jì)算機(jī)上運(yùn)行搜索，并嘗試將自身復(fù)制到讀/寫可訪問目錄、使用操作系統(tǒng)功能搜索可訪問網(wǎng)絡(luò)目錄和/或?qū)τ?jì)算機(jī)進(jìn)行隨機(jī)搜索。
[Platform] 字段可以是“Script”或“Win32”。
HEUR:Virus.[Platform].Generic此分類涵蓋的對象會在受害計(jì)算機(jī)的本地資源上創(chuàng)建自身的副本。
[Platform] 字段可以是“Script”或“Win32”。
HEUR:Email-Worm.[Platform].Generic此分類涵蓋的對象嘗試以電子郵件附件的形式發(fā)送自身的副本，或者作為位于網(wǎng)絡(luò)資源上的自身文件的鏈接。
[Platform] 字段可以是“Script”或“Win32”。
HEUR:Virus.[Platform].Infector
此分類涵蓋的對象在計(jì)算機(jī)中搜索文件并將一系列信息寫入這些文件。例如，這樣的對象可以將其主體寫入可執(zhí)行文件或?qū)懭氚赶蚓哂?.html、.php、.asp 和其他擴(kuò)展名的文件的鏈接的 HTML 代碼。
[Platform] 字段可以是“Script”或“Win32”。
PDM:Worm.Win32.Generic此分類涵蓋的對象搜索遠(yuǎn)程計(jì)算機(jī)網(wǎng)絡(luò)并嘗試將自身復(fù)制到讀/寫可訪問目錄、使用操作系統(tǒng)功能搜索可訪問網(wǎng)絡(luò)目錄和/或?qū)τ?jì)算機(jī)進(jìn)行隨機(jī)搜索。

轉(zhuǎn)自https://www.cnblogs.com/F12-blog/p/18362694