杀软工作原理以及如何免杀绕过

今天摸鱼的时候逛了逛大佬们的文章，其中看见免杀这个字眼让我想起了前两个月去xx的时候接触到了这个东西，小白出身，感觉还挺有意思的，写个文证明我学过/doge

一、什么是免杀？

先上官方：

免杀技术也叫做反杀毒技术(Anti Anti- Virus)简称“免杀”，它指的是一种能使病毒木马免于被杀毒软件查杀的技术。

通俗来讲，就是你上传的这个马，别人杀软不容易探到你，这个code能通过杀软的判断。

二、杀软的工作原理

首先先说一下杀软是怎么干活的吧。现在市面上的杀软大多都是扫描器、特征库、虚拟机组成，原理就是拿到文件后，把文件扔到虚拟机，扫描文件的行为特征、静态特征、内存特征，通过比对它的特征库来判断这个文件是否为恶意文件。

三、查杀原理

杀软的查杀方式。主要分为动态，静态免杀，其他的还有特征码、沙盒分析、信息熵检测等，简单说一些

1.静态启发

静态启发怎么说呢，可以理解为一个通缉令吧，当杀软分析恶意文件时，如果恶意文件中分析出的特点和通缉令画像越来越相符，那就会提高怀疑等级，怀疑等级高就被认定为存在危害。

2.动态免杀

动态免杀的大概就是杀软它存在一个windows虚拟机，将要分析的恶意文件扔到虚拟机里面进行监视，发现程序干坏事了就把你寄了。

3.特征码

特征码这个概念，相信师傅们都懂，是从病毒中分析出一串不大于64位的特征串。杀毒软件扫描是基于一个标准来判断被扫描的文件是否为恶意文件，那么其中一个标准就是根据特征码判断，如果你上传的这个马的特征码和恶意标准相符了，那就直接噶掉你了。当然不同杀软的特征库不同，相反可以通过修改特征码来进行免杀。

4.主动防御

杀软除了扫描来排查，当然还有主动防御—HIPS，HIPS可以理解为底线，不可能说扫描不到你，你就可以遨游了，如果发现程序有不正当操作，或者执行了其他程序不应该有的执行，就会拦截掉你。

等等

四、免杀简介

说完查杀原理之后，当然会有相应的免杀操作，免杀可以是基于以上查杀原理，比如改个特征码绕过之类的，这是扫描免杀，还有其他的内存免杀，流量分析免杀，行为分析免杀，机器学习免杀，逆向免杀等等（当然这些我都不会）。

五、免杀原理

嗯就我所了解到的免杀原理有加花、加壳、特征、内存、二次、分离、改资源。小白水平有限，也只能是说说我知道的吧。师傅们别喷

1.加花指令

所谓的加花指令，就是加入一段垃圾指令来干扰杀软。

2.加壳

单说"壳"对于小白来说可能有点抽象，"壳"就是保护软件不被非法修改和反编译，它会优先于软件运行，先拿到控制器保护软件完成运行，然后再归还控制权。壳分为压缩壳、加密壳、伪装壳等等。压缩壳是使程序变小，加密壳相反，好的壳会给程序加入大量的垃圾代码来作为干扰，因为是大量的码，所以程序也会很大。

3.特征码修改

这个在上面有提木马免杀工具，也很基础，所以不再细说了。

4.二次编译

这个是通过c/c#、py对shellcode进行二次编译从而免杀。

5.内存免杀

这个我并不太清楚，借鉴大佬讲解是说内存扫描和硬盘文件扫描一样，会对比特征码，需要特征码欺骗。加壳的程序解密后会又有一个特征码，再加上文件本身的特征码，需要两个特征码全部混淆，内存免杀也需要能混淆源代码的壳。

6.资源修改

太麻烦，寄。

明天还有课。先这样，有说的不对的地方大佬们喷喷我。/doge狗头保命

（编辑：拼字网 - 核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!