冰凌汇编

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 165|回复: 1
收起左侧

[反病毒] 规避反病毒:反病毒是如何工作的

[复制链接]
ollydbg 发表于 2022-1-21 17:06:57
在这篇简短的文章中,我们将检查防病毒开发人员用于检测恶意软件的主要方法。

现今大多数防病毒产品只使用少数几个引擎中的一个。每个引擎都有特定的目标。这四个主要引擎是;
  • 静态发动机
  • 动态发动机
  • 启发式引擎
  • 拆装发动机


静态分析

每个引擎都有一个特定的目标,每个引擎都有自己的优点和弱点。例如,大多数人熟悉的静态引擎,只需查找已知恶意软件的签名即可。其中最著名的是Yara签名 几乎每天都在更新。

静态引擎简单地将文件与已知恶意软件的签名数据库进行比较。这可能更具有挑战性,因为修改恶意软件(创建不同的签名)相对简单,从而避免了这种统计分析。

动态分析

动态分析更先进一些。它通过其行为来识别恶意软件。动态分析寻找的第一个行为是API调用。动态分析使用系统挂钩来查找恶意行为。此外,动态分析使用沙箱。AV软件创建一个独立于主机内存的虚拟环境,并执行可疑的恶意软件。这样,AV应用程序就可以在安全的环境中分析可疑文件,而不会对物理主机造成风险。


规避反病毒:反病毒是如何工作的 - ollydbg_冰凌汇编

启发式分析

大多数AV应用程序现在使用启发式引擎。为了简化,启发式使用旧的规则“如果它走路像鸭子,如果庸医像鸭子,它可能是鸭子”。AV应用程序根据各种因素为每个文件创建一个评分,然后通过统计分析确定它是恶意软件的可能性。例如,启发式将查找与LSASS.exe进程交互的进程、具有信誉软件供应商签名的进程、试图使自身持久的进程以及试图与C&C服务器通信的进程。启发式方法的最大缺点是误报,其中AV应用程序确定一个文件在没有恶意的情况下是恶意的。


规避反病毒:反病毒是如何工作的 - ollydbg_冰凌汇编

未包装分析

恶意软件开发人员用来逃避AV应用程序的主要方法之一是打包或压缩他们的代码。通过这种方式,它们可以通过在签名/静态分析中创建AV应用程序无法识别的不同签名来规避静态检测。AV供应商必须为恶意软件开发人员提供的每个封隔器开发一个解包器。这可能是一个非常缓慢和冗长的过程,但如果AV要检测打包的恶意文件,这是必要的。


对于开发规避AV的技术来说,关键是要很好地理解反病毒是如何工作的。既然您有了一个好主意,这些系统就可以工作了,您就可以开始回避AV了。
冰凌汇编免责声明
以上内容均来自网友转发或原创,如存在侵权请发送到站方邮件9003554@qq.com处理。
Pojieba 发表于 2022-1-30 16:34:04
知道反破解吗?
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|小黑屋|站点统计|Archiver|小黑屋|RSS|冰凌汇编 ( 滇ICP备2022002049号 滇公网安备 53032102000029号)|网站地图

GMT+8, 2022-9-25 06:46 , Processed in 0.146906 second(s), 10 queries , Redis On.

冰凌汇编 - 建立于2021年12月20日

Powered by Discuz! © 2001-2022 Comsenz Inc.

快速回复 返回顶部 返回列表