¿El software antivirus pertenece a la red o al software?
Del significado literal de "no matar" en chino, se puede considerar como una tecnología que puede evitar que el software antivirus controle y elimine virus y troyanos. Pero hay que decir objetivamente que la tecnología antivirus cubre una amplia gama y que puedes transformarla fácilmente en otras técnicas de hacking de primer nivel, como el desmontaje, la ingeniería inversa e incluso la extracción de vulnerabilidades del sistema. Se puede ver que la tecnología anti-muerte no es sencilla.
La historia de matar sin matar
[1] En teoría, matar sin matar debe aparecer después del software antivirus. No es difícil saber por la historia del desarrollo del software antivirus que el primer software antivirus, Kill 1.0, fue lanzado por Wish Company en 1987, lo que significa que la tecnología antivirus no se desarrolló hasta al menos 1989. La información histórica sobre la tecnología antivirus del mundo no se puede verificar ahora, pero en China, se puede decir que el inicio de la tecnología antivirus es muy tardío.
1989: El nacimiento de Mcafee, el primer software antivirus, marcó la llegada de la era del antivirus y del anti-killing.
1997: Aparece el primer virus polimórfico/mutante en China que puede mutar automáticamente. La mutación automática es uno de los métodos de detección libre de virus para el software antivirus, pero es diferente de la definición actual de detección libre de virus.
31 de julio de 2002: El primer virus mutante real, "Chinese Hacker II", apareció en China. No sólo tiene nuevas funciones, sino que también implementa funciones que la primera generación de "hackers chinos" no implementó. Se puede ver que esta variante también la crea el propio creador del virus.
2004: En el círculo de los hackers, la tecnología antivirus fue propuesta públicamente por primera vez por el equipo local de ingenieros de TI en este año. Debido a que en ese momento no existían herramientas antivirus especializadas como CLL, generalmente se usaba WinHEX para modificar los datos byte a byte.
5 de junio de 2005 a octubre de 2005: tankaiha, el autor del software de la conocida herramienta antivirus CCL, publicó un artículo en una revista para promocionar CCL. Desde entonces, los piratas informáticos nacionales tuvieron la primera herramienta antivirus.
Febrero-julio de 2005: a través de diversas publicidades intencionales y no intencionales, los piratas informáticos comenzaron a prestar más atención a evitar matar. En la columna de troyanos de sitios web de piratas informáticos como el Foro de China, cada vez más personas han comenzado a discutir la tecnología antivirus, lo que ha sentado las bases para la popularización de la tecnología antivirus troyana en el futuro.
Agosto de 2005: Xiaoye completó la primera animación disponible sobre anti-matanza, que proporcionó una referencia eficaz para un gran número de hackers y popularizó con éxito la tecnología anti-matanza por primera vez.
Septiembre de 2005: La tecnología antivirus comenzó a popularizarse.
Como se desprende de la información anterior, el primer virus del Hombre de las Mil Caras que podía mutar automáticamente apareció en China en 1997. Aunque la mutación automática también puede considerarse un método de software antivirus, porque es diferente de la definición actual de métodos antivirus, es descabellado situar el origen de la tecnología antivirus nacional en 1997.
No fue hasta el 31 de julio de 2002 que el primer virus mutante real "Chinese Hacker II" apareció lentamente en China, por lo que podemos localizar temporalmente el origen de la tecnología antivirus nacional en julio de 2002.
¿Qué puedes hacer sin matar gente?
¿Alguna vez has tenido la experiencia de que un software antivirus revise tu herramienta favorita? ¿Alguna vez ha creado con esmero un conjunto de herramientas que ha sido desfigurado más allá de todo reconocimiento por el software antivirus y "lleno de indignación"? ¿Alguna vez has tenido un momento triste cuando finalmente obtuviste permiso para cargar y el caballo de Troya fue eliminado? ¡Libre para matar, todo lo que puede hacer es evitar estas cosas! ¡Utilice software antivirus como decoración! Por supuesto, además de esto, la tecnología antivirus nos traerá más, lo que supondrá un salto en el pensamiento y el crecimiento de la tecnología.
Edita este párrafo
¿Qué implica la exención?
Pero para comprender realmente lo que se puede hacer sin matar personas, primero debemos entender lo que implica. Para los principiantes, el antivirus solo implica algunos conocimientos básicos de archivos PE y el uso de algunas herramientas antivirus, mientras que para los expertos, el antivirus incluso implica las habilidades de compilación de Ring0 (capa del núcleo). Entonces la cobertura de este curso es bastante amplia.
Clasificación de tecnologías antivirus
1. Eliminación gratuita de código abierto: se refiere a la eliminación gratuita mediante la modificación del código fuente bajo la premisa de la existencia de virus y troyanos.
2. Protección antivirus manual: se refiere a virus y troyanos que sólo tienen archivos ejecutables (.exe) (archivos PE).
Edite este párrafo
Clasificación manual sin eliminación
1. Evitación del análisis de archivos: escanee con software antivirus sin ejecutar el programa y obtenga resultados. .
2. Eliminación gratuita y eliminación de memoria: 1> Método de juicio; utilice la función de eliminación de memoria del software antivirus después de ejecutarlo.
2 & gt Cargue con OD y utilice la función de escaneo de memoria del software antivirus.
¿Qué es una firma?
1. Significado: Una cadena característica de no más de 64 bytes puede identificar un programa como virus.
2. Para reducir la tasa de falsas alarmas, generalmente el software antivirus extraerá múltiples cadenas de características. En este momento, a menudo cambiamos de lugar para lograr el efecto de evitar matar. Por supuesto, algunos programas antivirus deben trasladarse a varias ubicaciones al mismo tiempo para evitar la detección.
3. Utilicemos un diagrama esquemático para comprender el concepto específico de códigos de característica.
Edite este párrafo
La ubicación y el principio del código de característica
1. Método de búsqueda del código de característica: el código de característica en el archivo son los datos. Si completamos (como 0), el software antivirus no emitirá ninguna alarma ni determinará la ubicación de la firma.
2. El principio de funcionamiento del localizador de firmas: reemplace algunos bytes en el archivo original con 0, luego genere un nuevo archivo y luego determine la ubicación de la firma en función de los resultados del software antivirus. detectando estos archivos.
Conozca las herramientas para la localización y modificación de patrones.
1.CCL (localizador de firmas, ahora obsoleto debido al escaneo de software y actualizaciones de eliminación)
2.mycl (localizador de funciones, mejorado por el programador Tanknight sobre la base de CCL)
3.OllyDbg (modificación de firma, se puede usar para desmontaje dinámico. Nota: cuando lo use para modificar la firma, debe usar OC para convertirla en una dirección de memoria)
4 .C32ASM (la modificación de firmas también se puede utilizar para el desmontaje estático)
5.OC (una pequeña herramienta utilizada para calcular la dirección de desplazamiento de un archivo a una dirección de memoria)
6. UltaEdit-32 (editor hexadecimal, utilizado para localizar o modificar firmas manualmente)
Método de modificación del código de firma
La modificación del código de firma incluye la modificación de la firma del archivo y la modificación del código de firma de la memoria, porque estas dos firmas métodos de modificación
Es universal. Por lo tanto, daremos una descripción general de los métodos de modificación de firmas más populares actualmente.
Método 1: Modifique directamente el método hexadecimal del código de característica.
1. Método de modificación: Cambiar el hexadecimal correspondiente al código de característica a un hexadecimal con una diferencia numérica de 1 o similar.
2. Ámbito de aplicación: asegúrese de ubicar con precisión el hexadecimal correspondiente al código de característica y asegúrese de probar el archivo después de la modificación.
No en uso normal.
Método 2: Modificar el tamaño de la cadena.
1. Método de modificación: el contenido correspondiente al código de característica es una cadena, simplemente intercambie los caracteres pequeños y grandes.
2. Ámbito de aplicación: el contenido correspondiente al código de característica debe ser una cadena; de lo contrario, no tendrá éxito.
Método 3: Método de sustitución equivalente
1. Método de modificación: reemplace las instrucciones de ensamblaje correspondientes al código de característica con instrucciones que puedan simularse con éxito.
2. Ámbito de aplicación: debe haber instrucciones de ensamblaje reemplazables en el código de característica, como el uso de JMP para reemplazar JE y JNE.
Si no comprende la desviación de ensamblaje, puede consultar el manual de ensamblaje del 8080.
Método 4: Método de intercambio de secuencia de instrucciones
1. Método de modificación: utilice códigos de función para intercambiar secuencias de códigos.
2. Ámbito de aplicación: Existen ciertas limitaciones. El intercambio de código no debe afectar la ejecución normal del programa.
Método cinco: método de salto universal
1. Método de modificación: mueva el código de característica al área cero (refiriéndose al espacio en el código) y después de la ejecución, use la instrucción jmp. para recuperar incondicionalmente el código original. Continúe con la siguiente instrucción.
2. Ámbito de aplicación: Reforma general, se recomienda dominar esta reforma.
Método de modificación integral para evitar el antivirus troyano
Métodos para evitar archivos antivirus:
1. Agregar shells impopulares
Por ejemplo, si el programa es pancake, la capa exterior es la bolsa de embalaje, por lo que no se puede saber qué hay en la bolsa de embalaje. Los shells comunes generalmente son fáciles de identificar mediante el software antivirus, por lo que agregar shells a veces utiliza shells poco comunes, es decir, shells que no se usan comúnmente.
Si compra chicle hoy en día, encontrará que hay al menos dos capas de embalaje. Puede agregar varias capas a la capa exterior para que el software antivirus no pueda entenderlo. Si ve una bolsa con las palabras desecante y tóxico, probablemente no le interese. Se trata de un shell disfrazado que disfraza un shell como otro e interfiere con la detección normal del software antivirus.
2. Agregar shell y cambiar shell
Agregar shell y cambiar shell es uno de los métodos comúnmente utilizados para evitar la detección de virus. El principio del bombardeo y bombardeo es agregar upx shell u otros shells a un archivo troyano, usar lordpe para agregar 1 al punto de entrada del archivo, luego eliminar todos los caracteres de bytes, luego usar od para abrir el troyano y modificar algunos códigos en el 100 caracteres encima y debajo de la entrada, para que el software antivirus no pueda descubrir qué shell es, logrando así el propósito de evitar la muerte. Sin embargo, esta técnica sólo puede ser implementada por aquellos familiarizados con el lenguaje ensamblador.
3. Instrucciones para las flores
Añadir flores es un método común para evitar la detección de virus. El principio del relleno es utilizar instrucciones de relleno (algunas instrucciones basura, como declaraciones inútiles como sumar 1 y restar 1) para evitar que el software antivirus detecte la firma e interfiera con la detección normal del software antivirus. Después de agregar flores, algunos programas antivirus no pueden detectarlas, pero algunos programas antivirus potentes aún detectarán y eliminarán virus. Esta puede considerarse como la etapa más elemental de la tecnología "no matar".
4. Cambie el punto de entrada del programa
5. Cinco métodos comunes para cambiar la firma del archivo troyano (consulte "Cambiar la firma de la memoria")
6. Y varias otras técnicas de modificación de muerte libre.
Modificar firma de memoria:
1. Modificar directamente el método hexadecimal del código de característica
2 Modificar la escritura del tamaño de la cadena
3. Método de sustitución equivalente
4. Método de intercambio de secuencia de instrucciones
5. Método de salto universal
Resumen: Hasta cierto punto, anti-kill es la antítesis de software antivirus. Esta tecnología se actualiza con la actualización del software antivirus.
Desde la eliminación inicial de la superficie hasta la actual defensa contra el comportamiento de los troyanos (Rising), el antivirus de archivos en tiempo real (Kingsoft), etc.
La tecnología antivirus los ha superado, Podemos ver que cada vez que se agrega una nueva función para eliminar el software, se crean nuevas tecnologías antivirus.
Parafraseando un viejo dicho, la tecnología antivirus es compatible con el software antivirus.
¡Aprende a evitar matar y disfrutarás del feliz paraíso del desmontaje y montaje!
4. El último método de eliminación sin firma
¿Qué es el método de eliminación sin firma? El método más popular en la actualidad es romper con el método de posicionamiento tradicional, evitar directamente a ciegas y XOR toda la sección para cifrar, es decir, transformar todo el código para evitar la detección por parte del software antivirus.