红队笔记之杀软原理介绍与免杀技术总结

杀软的常用杀毒引擎

搞免杀之前呢肯定要对杀毒软件的查杀方法进行了解，了解后才能有效的制定绕过策略，以达到的免杀的目的，因为免杀本就是一个对抗的过程所以任何免杀都有着自己的时效性。下文将分别分析杀软的常用引擎原理，并介绍绕过思路。

杀毒引擎的原理与对抗 病毒查杀引擎 核心原理

此为杀软最基础的功能，主要原理是将文件的特征与病毒库所包含的特征进行匹配。

主要手段

1、文件名称或MD5值是否具备木马特征；

2、程序是否调用了系统危险函数，virtualalloc，rtlmovememory，ntcreatthread等；

3、shellcode的特征码匹配，如通过mov r10d, 0x0726774C判断是否为msf脚本；

4、判断文件是否存在有加解密行为，或其他额外的保护措施，如加壳；

对抗思路

1、避免使用可疑名字，投递前稍微修改程序以改变md5值；

2、避免使用危险函数进行系统调用；

3、对于shellcode进行随机性较高的加密，如自己编写加解密算法；

4、将加载器与shellcode进行分离；

5、程序中植入花指令；

文件监控引擎 核心原理

通过驱动向内核注册一系列的文件操作回调，来监控整个系统的文件操作。

主要手段

1、通常由微软提供的minifilter框架实现，一般得监控策略为

对抗思路

1、因为此处操作的是文件系统可以采用无落地，或者内存马的形式进行绕过

主动防御引擎 核心原理

对于危险api进行监控，当程序运行时有调用这些被监控的api则认为存在危险

主要手段

1、检查程序是否有修改注册表主动防御措施，防火墙，组策略，添加用户，或调用敏感程序如cmd，powershell ，psexec 等

对抗思路

此种较难较难处理一般采用白加黑(exe(白) —load—> dll（黑）)的思路进行绕过

启发式查杀引擎 核心原理

所谓启发式查杀其实是利用病毒程序与正常程序启动或运行时，所做的行为不同来判断是否为病毒程序，多数结合人工智能手段进行判断，一般误判可能性较大；

主要手段

1、将程序放到自己的沙箱中运行，判断是否存在危险行为

对抗思路

1、加载器，payload，密钥分离(若有)为三个文件，或者是两个文件；

2、程序执行前判断当前程序所处环境，来判断是否继续执行，还是直接return；

云查杀引擎 核心原理

云查杀相对容易理解，即将木马文件上传至云端服务上，由云端服务进行分析；

主要手段

云端上可能会是沙箱执行，或者机器学习分析，甚至人工分析；

对抗思路

参考启发式查杀对抗思路

常见云查杀平台有：virustotal，微步云沙箱，大圣云沙箱，antiscan

网络监控引擎 核心原理

网络监控引擎主要是通过对于网卡的流量的监控，来识别攻击事件；

主要手段

1、与威胁情报信息结合，判断IP，域名，证书等，是否被标记为高危；

2、监控流量的特征，通过流量特征判断是否高危；

对抗思路

1、c2服务器可以短期使用，或定期重置和更新IP域名

2、对于传输内容进行加密，防止结构与内容匹配

3、使用合法证书

4、扫描使用较慢速度，并更换ip和ua头等信息

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!