|
|
杀毒软件的查杀模式
这三种是目前杀毒软件常用的杀毒模式。
1.文件查杀
杀毒软件对磁盘中的文件进行静态扫描,一旦发现文件带有病毒库中的病毒特征代码就给予查杀。
(黑洞2005 服务端VS 卡巴做演示)
2.内存查杀
杀毒软件把病毒特征代码释放到内存中,然后与内存中的文件进行比对,发现有文件中带有病毒特征代码就给予查杀。
(灰鸽子2005服务端 VS 瑞星做演示)灰鸽子2.02 特征码为:0049AEC8
3.行为杀毒
杀毒软件用木马运行后的一些特定的行为作为判断是否为木马的依据。比如:啊拉QQ大盗在运行后会增加一个名为NTdhcp.exe的进程,还有彩虹桥的服务端在运行后会在注册表添加名为HKLM\\SOFTWARE\\Microsoft\\Active Setup\\Installed Components\\{9B71D88C-C598-4935-C5D1-43AA4DB90***36}\\stubpath的键值。行为杀毒的典型杀毒软件—绿鹰PC万能精灵。
[名词解释] 病毒特征代码:杀毒软件截获到一个木马后,将会提取木马中比较关键的一段代码作为辨认这个木马的特征代码,在杀毒过程中把它拿出来和磁盘中的文件做比对。就和我们辨认人一样,一看到一个人就把他的相貌特征记下来,比如:大眼睛啊、瓜子脸啊,在下次见到他的时候一眼就可以认出来。
综合木马免杀方案
修改免杀基本方法:
修改内存特征码--->
1>入口点加1免杀法---> 1>加压缩壳--->1>再加壳或多重加壳
2>变化入口地址免杀法 2>加成僻壳 2>加壳的伪装.
3>加花指令法免杀法 3>打乱壳的头文件
4>修改文件特征码免杀法
1.完全免杀方案一:
内存特征码修改 + 加UPX壳 + 秘密行动工具打乱UPX壳的头文件.
2.完全免杀方案二:
内存特征码修改 + 加压缩壳 + 加壳的伪装
3.完全免杀方案三:
内存特征码修改 + 修改各种杀毒软件的文件特征码 + 加压缩壳
4.完全免杀方案四:
内存特征码修改 + 加花指令 + 加压壳
5.完全变态免杀方案五:
内存特征码修改 + 加花指令 + 入口点加1 + 加压缩壳UPX + 打乱壳的头文件
还有其它免杀方案可根据第五部分任意组合. |
|
发表于 2008-10-31 22:15:20