2023/10/11日
这一章基本做一个介绍,对于一个小白来说,这个介绍写的很好,看了就很吸引人。
介绍
免杀也就是反病毒,反间谍的对立面,可以说是反-反病毒,是一个反杀毒技术。除了使木马免于被查杀外,还可以扩增病毒木马的功能,改变病毒木马的行为。
免杀技术的简单原理
最初接触免杀技术,会有特征码在这一概念,作者对于特征码提出了三个问题,笔者认为这有助于我们去思考
“特征码究竟是什么?”“特征码是如何被定位出来的?”“除此之外,还有什么?”
免杀源于特征码,杀毒软件也源于特征码
特征码是什么?
它是从反病毒领域引进来的一个词,意为病毒或木马所特有的一段二进制码
反病毒公司的工作人员获得一个病毒样本,最重要的就是提取出特征码。
那么他是如何找到特征码的呢?
这里作者举了个特殊例子,我简单说明,就是从危险指令定位特征码,比如格式化所有硬盘指令,一般程序并不会执行这些指令。
杀毒软件所用的特征码都是复杂的,一般由数段特征片段加上一定逻辑判断机制组合而成。
当然我们可以有计划的向木马文件中填充垃圾信息,这样不会被定位了。
这些以后细讲。
免杀技术和其他技术的区别
免杀技术不是rootkit技术
免杀和Rootkit最终目的都是隐藏自己不被其他程序发现。Rootkit的实质是指一组非常直接的工具,免杀只是使用这组工具的方法之一
其实这里我并没有完全理解,因为我零基础,不了解rootkit技术,到时候回来补充笔记
现在免杀主要分为三种,其中一种就是行为免杀,也就是通过控制病毒木马的行为来达到躲过杀毒软件主动防御的目的。然后介绍了免杀处理技术和一种Rootkit的关系
Rootkit并不代表免杀技术,只是构成高级免杀技巧的组成部分。
免杀不是加密解密技术
- 加密解密是针对一个程序展开研究,免杀技术任何时候都是针对两个
- 加密解密是以某一程序为媒介所产生的技术对抗(保护者和破译人),免杀是一个程序和另一个程序的技术对抗(杀毒软件和木马)