原文作者:Shanfenglan7,一个刚进入安全行业的人,愿意分享技术,接受批评,交流。希望能用尽可能具体的语言把抽象的技术讲清楚,让大家看得懂,觉得简单。最后希望大家可以关注我的博客:
杀毒软件检测思路 杀毒软件常见扫描方法与技术
1、压缩包扫描技术:即对压缩包及封装文件进行分析、检查的技术。
2、程序篡改防护:防止恶意程序通过删除防病毒检测程序来破坏计算机。
3.修复技术:恢复被恶意程序破坏的文件
4、应急磁盘杀毒:使用空白U盘创建应急启动盘,用于检测计算机病毒。
5. 智能扫描:在更短的时间内扫描最常用的磁盘和关键系统位置。
6.全盘扫描:扫描电脑所有磁盘,耗时较长。7.勒索防护:保护电脑内的文件不被黑客恶意加密。
8. 开机扫描:电脑开机时自动扫描,可扫描压缩文件及可能不需要的程序。
监控技术
1、内存监控:当发现内存中有病毒时,自动触发报警;监控所有进程;监控读入内存的文件;监控读入内存的网络数据。
2、文件监控:当发现写入磁盘的文件含有病毒或者被病毒感染时,会自动触发警报。
3、邮件监控:发现邮件附件有病毒则进行拦截。
4. Web 保护:拦截网络攻击和不安全的下载。5. 行为保护:向用户发出可疑应用程序行为的警报。
常见杀戮方法
1、特征码扫描:所谓特征码,其实就是程序内部的一串或几串二进制机器码。特征码匹配的工作原理是先归纳出病毒的特征码,然后搜索目标文件,看是否有类似的匹配,如果有匹配则暂时认定为病毒文件。优点:速度快,配备高性能扫描引擎;准确率相对较高,误杀相对较少;很少需要用户参与。缺点:使用病毒特征码方法的检测工具面对不断涌现的新病毒,必须不断更新病毒库的版本,否则检测工具就会过时,逐渐失去实用价值;病毒特征码方法无法知道从未见过的新病毒的特征码,因此无法检测出新病毒;如果对病毒特征码没有进行充分的测试,可能会出现误报,误删数据,损坏系统,给用户带来麻烦。
2、文件及验证方法:保存正常文件A的Hash值,然后如果有新的文件A发过来,计算其Hash值,如果和正常文件不一样,则认为是病毒文件。
3、沙盒检测:基于行为的检测,通过检查是否存在一些敏感行为来判断该文件是否是病毒。优点是可能发现未知的病毒,缺点是误报率比较高,需要用户参与。
4.云扫描:与签名扫描类似,只是如果签名数据库中没有匹配的值,则将文件上传到云端进行进一步分析。有时病毒扫描一开始可能不是病毒,但一段时间后可能会发现是病毒。这种行为称为云扫描。
防杀技术装载机
可以去这个网站查看loader代码,shellcode loader加载和普通源代码加载原理没太大区别,只是多了一个接收参数的过程,这个东西在已经有cmdshell的情况下很有用,但是对于样本投递就没那么有用了,运行流程如下:
花卉说明
反杀的效果是通过添加无意义的指令来实现的,这些指令也叫垃圾指令,原理和改特征码差不多,比如杀毒软件本来是在0x00001000到0x00005000处寻找特征码,但是因为我们填充了垃圾指令,导致恶意代码跑到了0x00008000位置,就会造成特征码无法反杀,从而达到反杀的目的。垃圾指令怎么写:在程序中找出一个全是0的代码段。
打开PE explorer,修改入口点,也就是00402D6A
在使用 flower 命令之前:
使用小绳花命令后:
总结:也可能是使用姿势不对,感觉不太好用。
附录
寄存器用法
东芝电子
循环计数器
ESP
始终指向堆栈顶部
增强边界条件
总是想着栈底
段寄存器
存储预分配内存的基地址
弹性知识产权
