El software antivirus mata las ideas
Métodos y técnicas de escaneo comunes de anti-software
1. Tecnología de escaneo de paquetes comprimidos: es una tecnología para analizar y verificar casos de paquetes comprimidos y archivos empaquetados.
2. Protección contra manipulación de programas: sirve para evitar que programas maliciosos destruyan el equipo eliminando los programas de detección de antivirus.
3. Tecnología de reparación: restaura archivos dañados por programas maliciosos
4. Disco de rescate antivirus: usa un disco U en blanco para crear un disco de arranque de emergencia para detectar virus informáticos.
5. Escaneo inteligente: escanea los discos más utilizados y las posiciones clave del sistema, lo que lleva poco tiempo.
6. Análisis completo: analiza todos los discos de la computadora, lo que lleva mucho tiempo. 7. Protección contra ransomware: proteja los archivos en la computadora para que no sean encriptados maliciosamente por piratas informáticos.
8. Escaneo de encendido: escanea automáticamente cuando la computadora está encendida y puede escanear documentos comprimidos y programas posiblemente innecesarios.
Tecnología de monitorización
1. Supervisión de la memoria: cuando se encuentra un virus en la memoria, se activará la alarma, supervisará todos los procesos, supervisará los archivos leídos en la memoria, supervisará los datos de red leídos en la memoria.
2. Supervisión de archivos: cuando se encuentra un virus en un archivo escrito en el disco, o está infectado por un virus, tomará la iniciativa de alarmarse.
3. Monitoreo de correo electrónico: intercepte cuando se encuentre un virus en un archivo adjunto de correo electrónico.
4. Protección de la página web: evite ataques a la red y descargas no seguras. 5. Protección de comportamiento: recuerde a los usuarios los comportamientos sospechosos de las aplicaciones.
Formas comunes de matar
1. Escaneo de código de característica: El llamado código de característica es en realidad una cadena o varias cadenas de códigos binarios de máquina dentro del programa. El principio de funcionamiento de la coincidencia de firmas es resumir primero la firma de un determinado virus y luego buscar en el archivo de destino para ver si hay una coincidencia similar. Si hay una coincidencia, se determina tentativamente como un archivo de virus. Ventajas: velocidad rápida, equipado con un motor de escaneo de alto rendimiento; tasa de precisión relativamente alta, relativamente pocas operaciones de homicidio; rara vez requiere la participación del usuario. Desventajas: La herramienta de detección adopta el método de código de firma de virus. Ante los nuevos virus que aparecen constantemente, la versión de la base de datos de virus debe actualizarse constantemente, de lo contrario la herramienta de detección envejecerá y perderá gradualmente su valor práctico; el método de código de firma de virus es nuevo en los nuevos que nunca antes se habían visto. Los virus no pueden conocer su código de firma, por lo que es imposible detectar nuevos virus; si el código de firma del virus no se prueba completamente, puede haber falsas alarmas, eliminación accidental de datos y daños en el sistema, lo que provocará problemas a los usuarios. 2. Método de verificación de la suma del archivo: guarde el valor hash del archivo normal A, y luego, si se envía un nuevo archivo A para calcular su valor hash, si es diferente del archivo normal, se considerará como un archivo de virus.
3. Detección de zona de pruebas: detección basada en el comportamiento, para ver si hay algunos comportamientos sensibles para determinar si el archivo es un virus. La ventaja es que se pueden encontrar virus desconocidos, pero la desventaja es que los falsos positivos son relativamente altos y se requiere la participación del usuario.
4. Verificación y eliminación de la nube: similar a la verificación y eliminación de firmas. Es solo que si no hay un valor coincidente en la biblioteca de firmas, el archivo se cargará en la nube para continuar con el análisis. A veces, el virus de escaneo no es un virus justo después del escaneo, pero después de un tiempo, será un virus. Este comportamiento mata la nube.
Tecnología anti-kill
Cargador
Puede consultar este sitio web para ver el código del cargador. El principio de carga del cargador de shellcode no es muy diferente de la carga de código fuente ordinario, pero hay un proceso adicional de recibir parámetros. Esto es muy útil cuando ya existe un cmdshell. Si es para la entrega de muestra, no es muy útil. Grande. El proceso de operación es el siguiente:
Instrucción de flores
Al agregar una instrucción sin sentido, es decir, una instrucción floral, para lograr el efecto anti-muerte, el principio es similar al de cambiar el código de característica. Por ejemplo, el software antivirus originalmente buscaba un código de característica de 0x00001000 a 0x00005000. Pero debido a que completamos la instrucción de la flor, el código malicioso corrió a la posición 0x00008000, lo que hará que el código de firma no se detecte y elimine, para lograr el propósito de evitar la muerte. Método de escritura de instrucciones de flores: encuentre un segmento de código todo 0 del programa.![[Error en la transferencia de la imagen del enlace externo. El sitio de origen puede tener un mecanismo de enlace anti-sanguijuela. Se recomienda guardar la imagen y cargarla directamente (img-NT7rIInm-1596903846754) (evernotecid: // 90B54479-F8FA-4F06-9F90-73E6593C6866 / appyinxiangcom / 27458002 / ENN / p60? hash = 6cf42dc80b0f6ea25b9839ac608cab94)]](https://img-blog.csdnimg.cn/20200809002738145.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw,size_16,color_FFFFFF,t_70)
Abra el explorador PE y cambie la ubicación de la entrada, que es 00402D6A en el camino
Antes de usar las instrucciones florales:
Después de usar la instrucción de flor de hilo pequeño:
Resumen: También puede deberse a una postura incorrecta, lo que dificulta su uso.
apéndice
| Registrarse | utilidad |
|---|---|
| ECX | Contador de bucles |
| ESP | Siempre apunte a la parte superior de la pila |
| EBP | Siempre quiero solo la parte inferior de la pila |
| Registro de segmento | Almacene la dirección base de la memoria preasignada |
| EIP | Almacene la dirección de la siguiente instrucción |
| EFLAGS | Guarda algunas banderas |
En el ensamblaje, el comando lea opera en la dirección. Por ejemplo
lea edx, [ebx + eax 4 + 3]
Opere EAX 4 + EBX + 3 y coloque el resultado en EDX
Cambiar el código de característica
Cambiar el código de característica es la idea más básica, porque la mayoría del software antivirus se basa en el código de característica. La definición específica del código de característica es un carácter que puede identificar un programa con no más de 64 bytes. El principio de cambiar el código de característica es cambiar el código de característica sin cambiar el efecto de ejecución del programa. Sin embargo, la biblioteca de características de cada proveedor es diferente y el código de característica debe cambiarse para diferentes proveedores. La mano de obra y los recursos materiales consumidos son muy grandes, pero el efecto es bueno. Método: Utilice la herramienta myccl para buscar y localizar el código de característica compuesto: 
1. Después de importar el archivo, establezca el número de bloques y luego haga clic en Generar.
2. Verifique y elimine los archivos generados Si todos los archivos generados después del bloque se verifican y eliminan, aumente el número de bloques.
3. Después de verificar y matar, haga clic en el segundo procesamiento. En este momento, se generará el intervalo del código de característica. Haga clic en la característica para tomar la pieza y abrir la ventana de la derecha. Después de generar cada nuevo código de característica, haga clic en el rango de código de característica y luego haga clic en "Agregar el rango de código de característica determinado" en la parte inferior derecha. Repita la operación 3 hasta que se confirmen todos los alcances y el software antivirus sea completamente incapaz de detectar y eliminar el virus.
4. Debido a que el intervalo de características es muy grande ahora, debe hacer clic con el botón derecho en el valor del intervalo de características y seleccionar aquí la característica de posicionamiento compuesto. Luego haga clic en Generar y continúe repitiendo las operaciones anteriores hasta que el tamaño de cada intervalo de código de característica sea de 2 bytes. Puede modificar los códigos de característica en lotes o modificar y probar en lotes. 5. Realice cambios en el programa de código fuente de acuerdo con el intervalo de código de característica generado.
Por ejemplo, el intervalo de código fuente mencionado anteriormente es de dos bytes después de 00002060. Convertida a la dirección de memoria real es rva + 00002060-00000400 en el segmento 00400000 + .text, que es 00402c60. Echemos un vistazo a x23dbg.
Cámbielo temporalmente a nop. Lo anterior es un proceso de modificación relativamente completo de una firma. La diferencia con el proceso de modificación correcto es que el último paso para modificar el código debe cambiarse a un código que no afecte el funcionamiento general del programa. La forma más fácil es moverse al área de todo 0 y llamarlo con jmp.
Este es el final de la primera parte y hay varias formas de hablar sobre la segunda parte.