0-基础
一、免杀的概念
“免杀”是一个网络安全领域的术语,通常指的是某些恶意软件或攻击工具能够绕过安全软件(如杀毒软件、防火墙等)的检测和防御机制,从而不被发现或阻止的技术。
二、杀软的技术
内核回调:通过监控内核级别的事件和回调函数,检测潜在的恶意行为。
堆栈展开:分析程序的调用堆栈,以识别异常的调用模式或可疑的函数调用。
内存扫描:实时扫描系统内存,以查找已知的恶意代码或异常行为。
系统调用监控:通过挂钩敏感API,分析其调用行为特征,以判断是否存在恶意活动。
沙盒分析:将可疑文件或进程放入隔离的虚拟环境中运行,观察其行为。如果在执行过程中出现恶意行为(如下载恶意文件、修改系统配置等),则会触发警报。
进程监控:监控正在运行的进程及其子进程的行为,以识别进程注入、代码注入、DLL注入等异常活动。
签名检测:利用哈希签名和模式匹配技术,识别已知的恶意软件。
基于机器学习的检测(AI):通过机器学习算法分析数据,识别潜在的恶意行为模式。
网络流量分析:监控和分析网络流量,以发现异常的通信行为或可疑的网络活动。
注册表监控:监控Windows注册表的变化,以识别恶意软件试图修改系统配置的行为。
内存保护和完整性检查:对关键系统文件和进程进行完整性检查,确保其未被篡改。
行为链分析:分析恶意软件的行为链,识别其攻击路径和影响。
内存取证:从内存中提取数据,以便进行后续的分析和取证。
其他检测手段:包括但不限于文件系统监控、用户行为分析等。
………………
知道了杀软的检测技术,就可以利用相应的反检测技术进行绕过。比如,堆栈展开技术可以利用堆栈欺骗(函数调用序列欺骗)技术进行绕过;内存扫描技术可以利用内存加密绕过。
三、相关工具
如何安装和使用工具不是本教程的重点,在此我只列举在学习过程中可能要用到的工具
Visual Studio 2022或Visual Studio 2019
IDA Pro
x86dbg和x64dbg
dnSpy
pestudio
NET Reactor 6.8.0
010editor
SignTool
upx-4.2.2-win64
CLion
Golang的IDE
……
在后续文章我会提到更多工具,读者只需要去下载即可。
Last updated