能力值:
( LV2,RANK:10 )
|
-
-
2 楼
特征已经存在,av会让你的病毒启动,然后修改自身?所以常规做法是把核心代码加密,到用的时候再临时解密。
|
能力值:
( LV4,RANK:40 )
|
-
-
3 楼
会有行为检测的
|
能力值:
( LV3,RANK:25 )
|
-
-
4 楼
行为监控,你是过不去的
特征码只是逗你玩的技术
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
太年青。
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
真屌....
|
能力值:
![]()
(RANK:10 )
|
-
-
7 楼
:
大神你是怎么处理特征码的呢
|
能力值:
(RANK:600 )
|
-
-
8 楼
too yong too simple
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
特征码本地引擎就不会让你过,你还怎么启动?更何况还有行为监控呢,特征码、免杀都什么过时了
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
too yong too simple
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
 叼叼叼,然并卵 
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
sometimes naive
|
能力值:
( LV4,RANK:50 )
|
-
-
13 楼
说我个人一点思路:
反病毒特征码提取基本是从:
1. 创建的注册表名,服务名,描述
2. 网络特征,实现的IP,url,域名
3. 样本的MD5值
对策:
1. 创建的注册表,服务使用随机或者可自定义
2. 使用加壳方法,对样本进行加密,但是一但被脱壳,样本就是个裸体
3. 在壳代码中或者样本中使用反调试,返虚拟技术,延长反病毒的分析样本时间。
4. 对部分重要的数据或者代码进行加密需要的时候再解密调用。这也是一种很有效对应反病毒分析的一种方法,也是我在进行样本分析常见的,头疼的分析。
5. 对重要的功能代码放入shellcode中,当然如果shellcode 代码量太大也不好掌控,对系统版本也比较限制。
对于4,5中我的个人破解的方法是,在动态调试工程中事先准备好常用的关键API,如果一开始一些API断点无法正常下,可以在运行shellcode,或者解密之后下载断点,然后就可以对样本进行正常的逆向分析了
|
能力值:
![]()
(RANK:10 )
|
-
-
14 楼
恩,确实是
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
太年轻...
|
能力值:
( LV4,RANK:50 )
|
-
-
16 楼
当然还有很多,只是不方便说,我确实也“太年轻”
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
别啊,这里都不方便说那就失传了。
|
能力值:
( LV4,RANK:50 )
|
-
-
18 楼
多分析就知道了,我也是小白
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
正解,行为监控。
|
能力值:
( LV7,RANK:100 )
|
-
-
20 楼
已经不是特征码查杀为主流的年代啦
|
能力值:
( LV4,RANK:50 )
|
-
-
21 楼
行为操作误杀比较大
|
能力值:
( LV2,RANK:10 )
|
-
-
22 楼
对抗特征码的主流方式 应该是一种类似加壳的技术。写起来要简单。就是你有一个很小的Loader部分,然后Loader只管加载并解码下阶段代码。这样你特征码查杀基本只能查杀你的Loader部分。而且Loader部分是很小的,这样你就便于免杀重构。当然杀软为了对抗肯定会分析你的解码算法。你的Loader的编码算法也要一步步的增强。
|
能力值:
( LV13,RANK:920 )
|
-
-
23 楼
遇到这种情况,杀软和主动防御直接将这类壳作为威胁进行预警和隔离,病毒必须“自证清白”,若有“隐瞒、逃避”的动作,本身就是值得怀疑的。
|
能力值:
( LV2,RANK:10 )
|
-
-
24 楼
所以我没说不需要做免杀了。是需要对“壳”做免杀。
|
能力值:
( LV3,RANK:20 )
|
-
-
25 楼
想法太年轻啊··行为检测不是那么好过的···
|
|
|
|
突然发现一个略屌的思路
