免杀技术大杂烩---乱拳也打不死老师傅
作者:Boi @ Linton Lab 360
[目录]
左上角按钮可以看目录树
目前的反病毒安全软件,常见有三种,一种基于特征,一种基于行为,一种基于云查杀。
对特征突出,大多数杀毒软件会定义一个阈值,当文件内部的特征数量达到一定程度就会触发报警,也不排除杀软会针对某个EXP会限制特定的入口函数来查杀。当然还有通过md5,sha1等哈希函数来识别恶意软件,这也是最简单粗暴,最容易绕过的。编码/会增加查杀概率的单词(某些某函数称为ExecutePayloadshellcode),加密Shellcode等。
CreateThread CreateThreadEx
xxx-> ntdll.dll-> win32API
对行为本身,很多个API可能会触发杀软的监控,进行初始化操作,添加启动项,添加服务,添加用户,注入,劫持,创建进程,加载DLL等。可
