20145313免杀原理与实践

问题回答

• 杀软是如何检测出恶意代码的？
  • 使用特征码检测。特征码就是一类恶意程序中很大概率会有的代码部分，通过检测程序中是否有这部分即可判定是否是恶意程序。
  • 通过行为检测，测试其是否有可疑行为。
  • 通过恶意程序一般有的特征去判断。
• 免杀是做什么？
  • 免杀即使用不同方法使得恶意程序不被杀软和防火墙发觉。
• 免杀的基本方法有哪些？
  • 利用加壳、多次编码等方式改变掩盖特征码。
  • 改变自身可疑行为。如进行反弹式连接。
  • 集成在盗版软件中，诱使使用者使用时关闭杀软防火墙。

实践过程

• 首先使用上次实验的backdoor程序为基准，测试免杀效果。
  

可知39款杀软中有20款检出。

• 使用编码器编码1次及8次。
  

只减少了一款。没有实际用处。

• 使用Veil-Evasion生成
  
  减少到了10款检出。
• 使用C语言自己编写程序，成功获得后门权限

检查报告

只有3款检出

• 利用UPX压缩壳
  
  检出率不降反升，大概是因为对UPX软件采取了特殊“待遇”。对其本身进行了特征码检测。

• 利用加密壳Hyperion
  
  ？
  11款报毒。。。。。大概这个软件更有名？？？

免杀结果

微点杀毒未检出（真的菜）

360杀毒检出4个恶意代码，分别是原始后门代码、8次编码代码、利用UPX压缩壳生成代码以及C语言生成代码。还有3个恶意代码未检出。在其检测报告中注意到，360把软件流行程度也作为考虑是否是恶意代码的条件之一。一部分过去课堂做的C语言程序也被检出是病毒。这个实在无法避免。另外，360会将不能确认的文件；联网上传检测，更为安全。