Shellcode静态检测技术研究
- 格式:pdf
- 大小:1.38 MB
- 文档页数:4


免杀知识点总结一、免杀概述免杀技术是指通过各种手段,让恶意软件能够避开杀毒软件的检测,从而成功感染目标系统,达到攻击者的目的。
免杀技术已经成为当前网络安全攻防战中的一个热点话题,对于网络攻击者和渗透测试人员来说,掌握免杀技术至关重要。
对于网络防御者来说,了解免杀技术也是非常关键的,只有深入了解免杀技术,才能更好地防范这些攻击。
二、免杀技术分类1. 多态性多态性是免杀技术中非常关键的一种技术手段,其核心思想是不断改变恶意代码的形式和特征,使得每个新生成的样本都不同于已知的样本,从而能够逃避杀毒软件的检测。
多态性可以通过各种手段来实现,比如代码加密、代码压缩、指令替换等。
2. 加壳加壳是指将恶意代码进行加密或者混淆处理,生成一个新的可执行文件,执行时需要先经过解密或者解压缩的过程,从而使得病毒样本不易被杀毒软件检测到。
加壳也是一种非常常见的免杀技术手段。
3. 免杀代理免杀代理是指利用被信任的程序作为载体,将恶意代码植入到这些程序中,利用这些可信程序的信任度来躲避杀毒软件的检测。
免杀代理技术常见的方式包括DLL注入、shellcode注入等。
4. 免杀利用漏洞免杀利用漏洞是指通过利用系统或者应用程序的漏洞,来进行免杀攻击。
这种方式可以绕过杀毒软件的检测,因为漏洞本身并不是一种已知的攻击形式。
5. 免杀模块化免杀模块化是指将恶意代码进行模块化处理,将恶意功能分成若干模块,然后分别插入到合法程序中。
这样做的好处是一旦某个模块被杀毒软件检测到,也不会影响其他模块的正常工作。
6. 免杀定制化免杀定制化是指根据具体的目标系统和杀毒软件来进行技术定制,使得恶意代码能够更好地逃避检测。
这种方式需要对目标系统和杀毒软件有深入的了解,并能够根据具体情况来进行技术调整。
三、常见的免杀技术手段1. 代码混淆代码混淆是指对恶意代码进行各种变换和混淆处理,使得其在静态分析和动态执行时难以被识别。
常见的代码混淆手段包括变量重命名、函数重命名、指令替换、代码插入等。