中文名: 免杀入门电子书
图书分类: 计算机与网络
资源格式: CHM
地区: 大陆
语言: 简体中文
简介:
关于免杀的来源
为了让我们的木马在各种杀毒软件的威胁下活的更久.
什么叫免杀和查杀
可分为四类:
1.文件免杀和查杀:不运行程序用杀毒软件进行对该程序的扫描,所得结果。
2.内存的免杀和查杀:判断的方法1>运行后,用杀毒软件的内存查杀功能.
2>用OD载入,用杀毒软件的内存查杀功能.
3.专杀.以病毒某一处特征做出判断,往往只要改一处就可以躲过
4.行为杀毒软件, 代表作,绿鹰PC精灵... 可以预知未知病毒,误报率高
什么叫特征码
1.含意:能识别一个程序是一个病毒的一段不大于64字节的特征串.
2.为了减少误报率,一般杀毒软件会提取多段特征串,这时,我们往往改一处就可达到
免杀效果,当然有些杀毒软件要同时改几处才能免杀.
特征码的定位与原理
1.特征码的查找方法:文件中的特征码被我们填入的数据(比如0)替换了,那杀毒软
件就不会报警,以此确定特征码的位置
2.特征码定位器的工作原理:原文件中部分字节替换为0,然后生成新文件,再根据杀
毒软件来检测这些文件的结果判断特征码的位置
认识特征码定位与修改的工具
1.myccl(特征码定位器)
2.ollydbg (特征码的修改)
3.OC(用于计算从文件地址到内存地址的小工具)
4.c32asm(十六进制编辑器,用于特征码的手工准确定位或修改)
很多时候大家已经用各类安全软件、杀毒软件查出了自己的机子中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名,这时有些人就蒙了,那么长一串的名字,我怎么知道是什么病毒啊?
其实只要我们掌握一些病毒的命名规则,我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些共有的特性了:
一般格式为:<病毒前缀>.<病毒名>.<病毒后缀>
病毒前缀是指一个病毒的种类,他是用来区别病毒的种族分类...