标签归档:免杀

那些年,我们用来“躲避”杀毒软件的工具[转]

那些年,我们用来“躲避”杀毒软件的工具

发布于 2016/04/26 FreeBuF.COM
*本文仅供安全研究和教学用途,禁止非法使用

在渗透测试的时候,我们可能需要规避杀软程序,特别是在post攻击阶段要在目标机器上执行特定文件的时候。有时候,绕过特定的杀软是一个挑战,因为并没有标准的规避杀毒软件的方法和技术。因此,我们需要尝试一个不同的方法来绕过它们。这篇文章将介绍常用的规避杀软的工具。

文件分割和十六进制编辑器

我们要讨论的第一个技术就是使用文件切割工具来定位杀软检测的特征,然后修改它。这是一个比较老的绕过杀软的办法。如果我们能够精确定位出被检测的特征,这个技术是很有效的。然而,这个技术也有限制。如果我们破坏了应用程序的功能,即便我们规避了杀软也是无用的。所以,只要我们在修改特征的时候没有改变它的功能,就是可以的。

这可以使用文件分割工具来实现,它能把二进制分割成多个部分。分割方式应该是这样的,每一个部分都比前一个部分多一个固定大小的内容。然后,我们使用杀软扫描这些分割好的块儿,判断哪一个块儿被首先标记为恶意软件。我们需要重复这个过程直到定位出特征的确切位置。“Dsplit”和“Evade”之类的工具就可以用来分割文件。一旦定位出特征,我们需要修改它然后保存。

让我们用一个例子来说明它是怎样对抗杀软的吧。

发表在 免杀技术 | 标签为 , , , | 留下评论

新的沙盒逃逸技术[转]

新的沙盒逃逸技术

自从诞生沙盒技术来阻挡恶意软件之后,恶意软件也在时刻想办法逃避沙盒,所谓沙盒逃逸技术。绿盟科技安全研究员做分析的过程中,发现Upatre木马新变种采用了新的逃逸技术。

Upatre沙盒逃逸新技术

Upatre木马使用了一些新的逃逸技术,来逃逸动态沙盒引擎的检查,这些技巧都非常的简单,但是非常的有效果。目前,VirusTotal上Upatre的检出率并不高,此次的新变种就检测不出来,这说明现在的恶意软件对付杀毒软件是越来越有办法了。

发表在 免杀技术, 沙盒 | 标签为 , , , | 留下评论