红蓝对抗----免杀原理和绕过研究

2023-10-25 06:30

本文主要是介绍红蓝对抗----免杀原理和绕过研究,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

目录

前言

静态查杀

已知病毒查杀-特征码查杀

未知病毒查杀-静态启发式查杀

动态查杀

已知病毒查杀查杀-内存特征

未知病毒查杀-启发式查杀和主动防御

免杀流程

参考资料


前言

    世面上很多的杀软免杀文章,但经过笔者实战,发现一个问题,会有很多方法推荐给你,例如加壳,加花指令等等的方式。本来不会被查杀的程序,被加壳后还被查杀了。这对新手十分不友好。那么有没有一种实战性强(既免杀率高,免杀效果持久),一站式的免杀流程和方案来让你制作免杀。并且该免杀方案还能保持一些原则来增加程序的免杀持久性。答案是有。接下来我们将在该系列中介绍一种一站式免杀流程和方案,让新手更快的学会和应用。

在该系列文章中将静态免杀动态免杀,划分方式为是否运行程序。主要分为以下两种情况:

1.如果放置进杀软环境被查杀则可能静态查杀动态查杀(沙箱查杀DLL,因为DLL并不会直接运行)。

2.如果双击运行被查杀,则为动态查杀

静态查杀

    静态查杀可以分为两种查杀,一种为查杀已知类型查杀,一种为查杀未知类型查杀。其中通过指定文件hash,或文件中存在多个字符串则可以通过指定存在这些特征的则为这一类病毒,以下分别介绍。




已知病毒查杀-特征码查杀

    特征码是表示,知乎按照指定模式进行特征匹配的算法,而具体使用什么类型的规则(既各种扫描算法)取决于扫描器,下面我们来介绍一种模式匹配规则,YARA规则。YARA是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具,使用YARA可以基于文本或二进制模式创建恶意软件家族描述信息,当然也可以是其他匹配信息。接下来我们来分析一个出名通用远控PoisonIvy的yara规则。

rule PoisonIvy_Generic_3 {meta:description = "PoisonIvy RAT Generic Rule"license = "https://creativecommons.org/licenses/by-nc/4.0/"author = "Florian Roth"date = "2015-05-14"hash = "e1cbdf740785f97c93a0a7a01ef2614be792afcd"strings:$k1 = "Tiger324{" fullword ascii$s2 = "WININET.dll" fullword ascii$s3 = "mscoree.dll" fullword wide$s4 = "WS2_32.dll" fullword$s5 = "Explorer.exe" fullword wide$s6 = "USER32.DLL"$s7 = "CONOUT$"$s8 = "login.asp"$h1 = "HTTP/1.0"$h2 = "POST"$h3 = "login.asp"$h4 = "check.asp"$h5 = "result.asp"$h6 = "upload.asp"condition:uint16(0) == 0x5a4d and filesize < 500KB and( $k1 or all of ($s*) or all of ($h*))
}

上述规则说,满足k1或s规则或h规则且大小小于500kb为pe文件的则为poisonlvy病毒。可以从规则上来看,大小,字符串,使用的DLL等等软件构成部分都可以成为检测病毒的一部分。总结一下即程序符合特定规则则认定这个程序为指定病毒




未知病毒查杀-静态启发式查杀

    启发式查杀是对单一特征码查杀的补充,解决未知病毒查杀。早期杀软都是发现病毒,制作该病毒的特征码,但是对于未知病毒就无法查杀,而启发式则是将一类病毒总结后,归纳其特征,其后的演变都为一类病毒,这既是启发式算法。具体启发式算法可以由杀软来定,比如可以使用机器学习把家族病毒聚类,或简单的通过使用通用型yara规则,例如文件大小小于100kb,且没有图标则可以识别为病毒,以此达到查杀壳病毒。例如,有的杀软会查杀main函数中仅仅有几行无效代码。这也是我们经常遇到的误报



动态查杀

    动态查杀同样分为两种查杀,一种为指定类型查杀,一种为未知类型查杀。




已知病毒查杀查杀-内存特征

    例如,某数字查杀cobaltstrike等知名远控则是通过shell code内存匹配来进行查杀。





未知病毒查杀-启发式查杀和主动防御

    杀软通过拦截程序运行的api调用,通过api序列,或其是否高危来判定是否为病毒。

举几个例子,

1.Kas针对cobaltstrike的查杀是通过联网URL的地址特征,进行查杀。

2.通过将Dll拷贝到磁盘后,会被沙箱进行行为分析。例如,Dll下载者会被查杀,很明显DLL是没办法直接双击运行,但某些杀软依旧会查杀。

3.注入explorer.exe直接被干掉。

4.Bitdexxxxx会在运行时查杀空壳且名字随机的1.exe,asd.exe,干扰免杀。

注意:主动防御有的杀软会在断网模式不开启该功能。

免杀流程

参考资料

1.GitHub - Micropoor/Micro8: Gitbook
2.LOLBAS Windows白名单列表
3.方程式组织EQUATION DRUG平台解析 方程式组织EQUATION DRUG平台解析
4.GitHub - TideSec/BypassAntiVirus: 远控免杀系列文章及配套工具,汇总测试了互联网上的几十种免杀工具、113种白名单免杀方式、8种代码编译免杀、若干免杀实战技术,并对免杀效果进行了一一测试,为远控的免杀和杀软对抗免杀提供参考。
5.[原创]过所有主流杀软查杀的“免杀壳”编写揭秘-加壳脱壳-看雪论坛-安全社区|安全招聘|bbs.pediy.com


欢迎交流

这篇关于红蓝对抗----免杀原理和绕过研究的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/280648

相关文章

深入探索协同过滤:从原理到推荐模块案例

文章目录 前言一、协同过滤1. 基于用户的协同过滤(UserCF)2. 基于物品的协同过滤(ItemCF)3. 相似度计算方法 二、相似度计算方法1. 欧氏距离2. 皮尔逊相关系数3. 杰卡德相似系数4. 余弦相似度 三、推荐模块案例1.基于文章的协同过滤推荐功能2.基于用户的协同过滤推荐功能 前言     在信息过载的时代,推荐系统成为连接用户与内容的桥梁。本文聚焦于

hdu4407(容斥原理)

题意:给一串数字1,2,......n,两个操作:1、修改第k个数字,2、查询区间[l,r]中与n互质的数之和。 解题思路:咱一看,像线段树,但是如果用线段树做,那么每个区间一定要记录所有的素因子,这样会超内存。然后我就做不来了。后来看了题解,原来是用容斥原理来做的。还记得这道题目吗?求区间[1,r]中与p互质的数的个数,如果不会的话就先去做那题吧。现在这题是求区间[l,r]中与n互质的数的和

hdu4407容斥原理

题意: 有一个元素为 1~n 的数列{An},有2种操作(1000次): 1、求某段区间 [a,b] 中与 p 互质的数的和。 2、将数列中某个位置元素的值改变。 import java.io.BufferedInputStream;import java.io.BufferedReader;import java.io.IOException;import java.io.Inpu

hdu4059容斥原理

求1-n中与n互质的数的4次方之和 import java.io.BufferedInputStream;import java.io.BufferedReader;import java.io.IOException;import java.io.InputStream;import java.io.InputStreamReader;import java.io.PrintWrit

寻迹模块TCRT5000的应用原理和功能实现(基于STM32)

目录 概述 1 认识TCRT5000 1.1 模块介绍 1.2 电气特性 2 系统应用 2.1 系统架构 2.2 STM32Cube创建工程 3 功能实现 3.1 代码实现 3.2 源代码文件 4 功能测试 4.1 检测黑线状态 4.2 未检测黑线状态 概述 本文主要介绍TCRT5000模块的使用原理,包括该模块的硬件实现方式,电路实现原理,还使用STM32类

一种改进的red5集群方案的应用、基于Red5服务器集群负载均衡调度算法研究

转自: 一种改进的red5集群方案的应用: http://wenku.baidu.com/link?url=jYQ1wNwHVBqJ-5XCYq0PRligp6Y5q6BYXyISUsF56My8DP8dc9CZ4pZvpPz1abxJn8fojMrL0IyfmMHStpvkotqC1RWlRMGnzVL1X4IPOa_  基于Red5服务器集群负载均衡调度算法研究 http://ww

生信圆桌x生信分析平台:助力生物信息学研究的综合工具

介绍 少走弯路,高效分析;了解生信云,访问 【生信圆桌x生信专用云服务器】 : www.tebteb.cc 生物信息学的迅速发展催生了众多生信分析平台,这些平台通过集成各种生物信息学工具和算法,极大地简化了数据处理和分析流程,使研究人员能够更高效地从海量生物数据中提取有价值的信息。这些平台通常具备友好的用户界面和强大的计算能力,支持不同类型的生物数据分析,如基因组、转录组、蛋白质组等。

开题报告中的研究方法设计:AI能帮你做什么?

AIPaperGPT,论文写作神器~ https://www.aipapergpt.com/ 大家都准备开题报告了吗?研究方法部分是不是已经让你头疼到抓狂? 别急,这可是大多数人都会遇到的难题!尤其是研究方法设计这一块,选定性还是定量,怎么搞才能符合老师的要求? 每次到这儿,头脑一片空白。 好消息是,现在AI工具火得一塌糊涂,比如ChatGPT,居然能帮你在研究方法这块儿上出点主意。是不

TL-Tomcat中长连接的底层源码原理实现

长连接:浏览器告诉tomcat不要将请求关掉。  如果不是长连接,tomcat响应后会告诉浏览器把这个连接关掉。    tomcat中有一个缓冲区  如果发送大批量数据后 又不处理  那么会堆积缓冲区 后面的请求会越来越慢。

研究人员在RSA大会上演示利用恶意JPEG图片入侵企业内网

安全研究人员Marcus Murray在正在旧金山举行的RSA大会上公布了一种利用恶意JPEG图片入侵企业网络内部Windows服务器的新方法。  攻击流程及漏洞分析 最近,安全专家兼渗透测试员Marcus Murray发现了一种利用恶意JPEG图片来攻击Windows服务器的新方法,利用该方法还可以在目标网络中进行特权提升。几天前,在旧金山举行的RSA大会上,该Marcus现场展示了攻击流程,