【经验分享】
在这儿,先给大家分享了实用经验:
1. 别以为打系统补丁是没用的,如果不打你的电脑随时可能中网马,网马就是利用系统的重大BUG俗称(漏洞)制作而成的,当你浏览网页时,由于你的系统没有打补丁,就会自动下载并运行文件,该文件可能是反弹木马,或者是病毒. 比如:网页插木马常见代码() 意思就是打开一个宽高为0的窗口 所以用户看不到的。
2. 别以为装了杀毒或者防火墙就一了百了,虽然装了比没装好,但是也要装个比较好的杀毒才有用,没有杀毒能够绝对的预防病毒木马,简单的免杀可以非常简单地让杀毒软件什么也查不出,最好还是自己看端口.看服务,学会用一些工具才是真正地防木马.
【专业名词】
壳:就是程序的保护层,原本用来加密PE程序文件防止破解,现在却被用于制作免杀
花代码(花指令):就是一段毫无意义的代码,也是乱码,它前后构成完全矛盾的意思,但是这样就能阻碍杀毒软件的查杀.
【杀毒技术】
1.特征码技术:运用程序中某一段或几段64字节以下的代码作为判别程序病毒的主要依据,几乎所有国内杀毒软件都在用.
2.复合特征码技术:下面给图, 因为本人艺术细胞原因 所以点到为止
------------ 比如这一段为程序
-----c--a------b---a----c--d-------b-------------------------------a------d---c------d---a---b-
这是某一个杀毒软件的特征码
3.abcd 所有都在的情况下, 木马可以被杀到 不管有几个a 或者几个b
虚拟机技术:卡巴运用的技术,它表现在穿壳能力的强大
4.行为查杀技术:根据某些病毒会在计算机里面的行为作为依据(如在注册表内增加什么键值),满足三个以上就视为木马或病毒.
5.启发式杀毒技术:运用病毒特有的结构,来检测病毒(如nod32)
【实例分析】
我们对瑞星杀毒软件杀毒进行分析:
1、普通的木马病毒(不常见的),瑞星不进行内存特征码定义,,
文件免杀了内存就免杀了
2、瑞星的右键快捷查杀和运行主程序查杀,效果不一样,右键不杀不代
表运行主程序不杀,有些内存杀的木马病毒,修改了运行主程序查杀的特
征码,内存就免杀了。网络泛滥的木马病毒(如鸽子,密码神通,广外幽灵等),瑞星进行内存特征码定义,通常是多区段特征码定义,其中有些用免杀壳加密加花后,OD载入不杀,但运行后被杀
这样看来感觉瑞星象是3套特征码定义,1是右键查杀,2是主程序运行查杀,
3是内存查杀,我是这样分类的
针对上述现象,瑞星内存免杀我们通常这样做,OD分段定位,先NOP入口点区段,仍被杀则NOP其他区段,直到不杀,找出内存特征码进行修改
│-----右键快捷查杀特征码 A
│
│
瑞星病毒特征码│-----主程序查杀特征码 A(B)
│
│
│-----内存查杀特征码 (ABC)
说明:A B C代表的是病毒特征码,括号()表示可能不存在
【总结】
OD加载的和真正的运行有区别,一些加壳的东西加了木马OD载入不杀内存,真正运行了就被杀,说明真正运行了内存中会还原某些代码,所以遇到加壳OD不杀,运行被杀的情况,平时我们遇到的木马,未加密加壳前在OD中是可以被杀和定位内存特征码的至于一种情况,如果木马未做任何处理的时候,就是一个原始木马,拿来OD载入不杀内存,运行了就杀,这种情况我没遇到过,如果你遇到了无壳的出现这种情况,基本上就是被一个内存免杀技术不过关的人修改过的,碰巧被你用了
如果你在免杀过程中遇到了OD载入不杀,运行内存被杀的情况,请尝试修改特征码,而不是给它加花或加密,正确修改了内存特征码是可以完全内存免杀的。
