西安蓝海网站建设,个人网站怎么进后台,wordpress自动升级,廊坊手机网站制作0x1 PE文件与免杀思路
基于PE文件结构知识的免杀技术主要用于对抗启发式扫描。 通过修改PE文件中的一些关键点来达到欺骗反病毒软件的目的。
修改区段名 1.1 移动PE文件头位置免杀
工具#xff1a;PeClean
SizeOfOptionalHeader字段来描述扩展头的大小#xff0c;恒定值为…0x1 PE文件与免杀思路
基于PE文件结构知识的免杀技术主要用于对抗启发式扫描。 通过修改PE文件中的一些关键点来达到欺骗反病毒软件的目的。
修改区段名 1.1 移动PE文件头位置免杀
工具PeClean
SizeOfOptionalHeader字段来描述扩展头的大小恒定值为0xE0。 某些程序直接使用0xE0对PE文件进行处理对于修改过的程序会被识别为非PE文件。 1.2 导入表移动免杀
通过修改程序里导入表ThunkValue值实现。
1通过ThunkValue的偏移地址找到API函数名2将原地址的API函数名移动到其他空白处300填充掉原地址的API函数名4修改ThunkValue值为新移动的地址 1.3 导出表移动免杀
通过修改导入表中API函数名的相对偏移地址实现。
获取API函数名的RAV相对虚拟地址将API函数名移动到新位置将API函数名相对偏移地址填写回原先记录的地方 0x2 PE文件与反启发式扫描
其它非与PE文件相关的启发式扫描请参考第16章“免杀技术前沿”内容。 2.1 最后一个区段为代码段
启发特征最后一个区段为代码段。这会引发“异常的入口点”。如果入口点被定位在了非正常的代码段上则会被启发式扫描引擎查杀。 2.2 可疑的区段头部属性
蠕虫在感染一个文件时有三种方案这些方案都要求会修改代码段具有可写属性。
1 增加一个新的可执行区段2 现有的代码段中插入恶意代码3 将恶意代码分别穿插到不同的区段中并修改相应区段的属性
启发特征一个正常的可执行程序如果出现多个具有可执行属性的区段就会制造出这些特征。 2.3 可疑的PE选项头的有效尺寸值
启发特征这一项启发特征是基于 “移动PE文件头免杀”建立起来的。用于试图修改选项头大小而隐藏更多敏感数据的恶意程序。 2.4 可疑的代码节名称
启发特征如果产生了编译器厂商之外的区段名则启发特征判定为恶意程序。 2.5 多个PE头部
启发特征可执行文件中含有需要释放的DLL或者SYS。
注一般情况下将其中包含的可执行文件加密即可避免出现这个特征。 2.6 导入表项存在可疑导入
启发特征
无效导入表偏移形式调用API特定恶意行为的API序列
注黑客一般会使用自己实现的GetProcAddresss函数以便用散列值寻找并调用相关敏感API 0x3 隐藏导入表
隐藏导入表思路
简单异或加密导入表单项移除重构导入表利用HOOK方式打乱其调用 3.1 操作原理与先决条件
原理
1手工将指定导入项的IAT(Import Address Table)删除掉2在启动初期用正确的值填充IAT
条件限制
OriginalFirstThunk字段是一个以0x00000000结尾的32位数组将INT填充为0x00000000删掉后 会导致在此IAT项后面所有由此DLL导入的函数失效。 3.2 修改PE文件
简单的例子 3.3 构造我们的反汇编代码
没看懂RegisterClassExW的起始地址是怎么得到的。 0x4 小结 PE免杀入门技巧 对PE免杀入门技巧的启发式扫描规则 反启发式扫描PE免杀技巧
