1.免杀方法大集结(Anti-AntiVirus)
免杀方法大集结(Anti-AntiVirus)
免杀,定代码反病毒(AntiVirus)与反间谍(AntiSpyware)的位源位源对立面,被称为“反杀毒技术”。码定在寻找免杀方法时,定代码通常会分为两种情况:静态文件免杀和动态行为免杀。位源位源静态文件免杀关注的码定源码底层讲解是杀毒软件的静态文件扫描和云查杀,而动态行为免杀则针对运行时的定代码某些行为被拦截报读。
静态免杀主要针对杀毒软件的位源位源特征码识别机制。杀毒软件通过提取文件特征码来识别病毒文件。码定为避免误报,定代码特征码通常由多个串组合而成,位源位源包含代码数据、码定解析PE文件的定代码资源等信息。寻找特征码的位源位源工具有CCL、MYCCL等,码定电子教室软件源码它们通过文件分块定位来尝试定位特征码,但效果带有运气成分。
对于静态文件免杀,可以尝试使用模糊哈希算法来定位特征码。该算法通过分片文件,只对不易改变的部分进行哈希计算,以此来识别相似的汽修汽配管理系统源码病毒变种。常用的工具如VirTest,通过2分排除法定位特征码,相较于简单分块定位法更为科学且精确。
动态行为免杀则更难以实现,尤其是没有源码的情况下。对于静态免杀,定位到特征码后,帝国分类信息源码可以通过修改特征码值或代码、数据位置来实现免杀。对于有源码的情况,修改方式更为灵活,可以使用各种方法,如等价替换汇编代码、加花指令、冒险与挖矿源码替换API等,甚至可以尝试通过资源操作和PE优化来实现免杀。
在没有找到有效特征码或修改起来过于困难时,可以尝试工具免杀,比如资源操作、PE优化、加壳等方法。加壳则可以将原始代码进行加密压缩,再通过解密器/解压器运行,以此来隐藏特征码,实现免杀效果。对于动态行为免杀,主要通过替换API、修改调用顺序、绕过调用源等策略来实现。
免杀是一个复杂且不断进化的领域,需要灵活运用各种方法,包括但不限于替换API、修改调用顺序、使用未导出API、重写系统API、底层API调用、合理替换调用顺序、绕过调用源等。同时,利用工具如CCL、MYCCL、VirTest等可以帮助定位特征码,进一步实现免杀。