20145304 Exp3 免杀原理与实践

基础问题回答

（1）杀软是如何检测出恶意代码的？

检验特征码，包含特征码的代码会被杀软认为是恶意代码，例如一些常用恶意代码加壳后就有一个固定的代码会被认为是特征码。
启发式恶意代码检测，做了不该做的事情，则有可能被认为是恶意软件。
基于行为的恶意软件检测，根据软件的行为来判断该软件是否为恶意软件。

（2）免杀是做什么？

使恶意代码不被杀软检测到。

（3）免杀的基本方法有哪些？

改变特征码。
改变行为。

实践总结与体会

这次的实验使我认识到，知识越多认识越深，上星期对杀软和防火墙的信赖倒塌了一半，我们按照一定的方法步骤操作一些现成的软件便可以制造出杀软和防火墙都无法识别的恶意代码，制造病毒与杀毒相互促进、共同发展。及时更新病毒库很有必要。
此次实验中恶意代码程序都是我们自己运行的，但现实生活中，很多恶意代码都可自运行，新型病毒查杀较为困难，需要一定的时间，所以，我们应从根源避免自己遭受恶意代码的攻击，养成良好的上网习惯，及时更新病毒库。

离实战还缺些什么技术或步骤？

感觉离实战还有很大的距离，首先，我们的病毒需要人为的启动，而用户是不会轻易帮助你进行这一步的，所以我们的病毒中需要一些自启动的代码，其次，我们的病毒没有传播性，只能单一的感染某个特定的主机。目前我们所做到的只是攻击者与被攻击者之间相互配合的恶意代码，如果要做到病毒的自启动，自我复制等功能，需在代码上加以完善，这样有被杀软通过行为查杀的风险，所以需要做的还有很多。

实践过程记录

理解免杀技术原理

免杀技术是能使病毒木马避免被免杀软件查杀的技术。做免杀，应了解杀毒软件是依据什么来判断代码是否为恶意代码，所谓“知己知彼，百战不殆”。恶意软件的检测可基于其特征码、基于其行为以及启发式检测。基于这些，我们可以通过加壳、编码器编码、用其他语言重写再编译来改变其特征码，也可使用反弹式连接、隧道或加密等技术来改变其行为，实现免杀。