一、概念

​ 免杀技术全称为反杀毒技术,简称“免杀”,它指的是一种能使病毒木马免于被杀毒软件查杀的技术,由于免杀技术的涉猎面非常广,其中包含反汇编、逆向工程、系统漏洞等黑客技术,所以难度较高,一般人不会或没能力接触这技术的深层内容。其内容上基本上都是修改病毒、木马的内容改变特征码,从而躲避了杀毒软件的查杀。

二、核心

​ 1、主动式对抗

​ 2、被动式绕过(加解密、混淆、编码)

​ 3、文件伪装

​ 4、权限维持

目的:反查杀

三、难点

1、杀软的检测

特征检测

检测特征码

行为检测

动态查杀

云查杀

可疑文件进行上传,跑沙箱,返回结果,正常文件还是恶意文件

内存扫描

关键区域 卡巴斯基、Windows Defender

主动防御

内置检测规则,触发规则进行拦截

启发式

对特征码补充,解决未知码的情况。

2、成本

时间、代码量、方法

3、静态和动态免杀

  • 静态就是刚下载下来,杀毒软件就会警告
  • 动态运行后,杀软会进行报错