没有合适的资源?快使用搜索试试~ 我知道了~
杀毒软件的工具.doc
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 158 浏览量
2021-10-03
22:25:05
上传
评论
收藏 1.72MB DOC 举报
温馨提示
试读
10页
杀毒软件的工具.doc
资源推荐
资源详情
资源评论
- -
.freebuf./sectool/102595.html
那些年,我们用来“躲避〞杀毒软件的工具
在渗透测试的时候,我们可能需要躲避杀软程序,特别是在 post 攻击阶段要在目
标机器上执行特定文件的时候。有时候,绕过特定的杀软是一个挑战,因为并没有
标准的躲避杀毒软件的方法和技术。因此,我们需要尝试一个不同的方法来绕过它
们。这篇文章将介绍常用的躲避杀软的工具。
文件分割和十六进制编辑器
我们要讨论的第一个技术就是使用文件切割工具来定位杀软检测的特征,然后修改
它。这是一个比拟老的绕过杀软的方法。如果我们能够准确定位出被检测的特征,
这个技术是很有效的。然而,这个技术也有限制。如果我们破坏了应用程序的功能,
即便我们躲避了杀软也是无用的。所以,只要我们在修改特征的时候没有改变它的
功能,就是可以的。
这可以使用文件分割工具来实现,它能把二进制分割成多个局部。分割方式应该是
这样的,每一个局部都比前一个局部多一个固定大小的内容。然后,我们使用杀软
扫描这些分割好的块儿,判断哪一个块儿被首先标记为恶意软件。我们需要重复这
个过程直到定位出特征确实切位置。“Dsplit〞和“Evade〞之类的工具就可以用来
分割文件。一旦定位出特征,我们需要修改它然后保存。
让我们用一个例子来说明它是怎样对抗杀软的吧。
我从这里下载了 wce.exe。这是在 post 攻击阶段常用的获取明文口令的工具。
当我们在 virustotal.上扫描这个工具时,56 个杀软中有 47 个把它识别为恶意软
件。
通过使用 Dsplit,我们发现杀毒软件使用欢送字符串来检测它,这个字符串会在工
具运行时显示。因此,我用十六进制个编辑器翻开 wce.exe,通过把大写转换为
小写,小写转换为大写的方式改变其特征。如下所示:
- word.zl-
资源评论
gjmm89
- 粉丝: 14
- 资源: 19万+
下载权益
C知道特权
VIP文章
课程特权
开通VIP
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功