注册忘记密码

黑客论坛,黑客工具,黑客教程,QQ技术,黑客基地,黑客网络,黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防,黑客编程,黑客定位,手机定位,微信定位,hack,黑客网站,查开房,定位,信息查询

查看: 788|回复: 0

[网络安全] 黑客是怎样打造免杀壳的

[复制链接]
   0 UID
   0帖子
   0精华
21
   0威望
500
   0金币
45816
   0贡献
5000
   0阅读权限
   200
   积分
   0
   在线时间
   600 小时
   最后登录
   2020-6-6
发表于 2020-5-20 07:31:34 来自手机 | 显示全部楼层 |阅读模式
    黑客写壳的目的之一就是能打造一个属于自己的免杀壳,而我们只有了解了免杀壳的原理后才能知道如何防御黑客入侵。单从文件免杀的角度来讲,一个简单的异或加密壳已经足以破坏绝大多数的特征码,但是如果想要使其做到内存免杀乃至行为免杀,就不那么简单了。 除此之外,由于几乎每个壳的Stub部分都是独一无二的,因此壳的Stub部分本身也是很容易被定为特征码的。例如目前比较出名的壳大多数都有此类问题,即便是使用这些壳去保护一个毫无恶意行为的程序,也会被杀毒软件误判为木马病毒。黑客为了避免此类事情发生在他们的壳上,他们除了在壳的冗余设计上多动脑筋外,限制壳的流通范围也是必不可少的。就一般情况来讲,专业的免杀壳应该都是仅在极小的范围内流通的。
   免杀壳与加密壳的异同
   我们经常能听到或在网络中看到一些人将免杀壳与加密壳混为一谈,其实这种观点并不准确。 在免杀技术兴起之初,确实有一段时间免杀壳与加密壳发生了交集,但是随着反病毒厂商的启发式扫描的广泛应用,这种发生交集的情况也在随着时间的推移而逐渐减少。 就现在来讲,笔者认为免杀壳的一个最基本的功能就是要保证加壳前的程序与加壳后的程序不应该有太大的差异。换句话讲,就是黑客们不想让他们的木马在加上免杀壳后反而增加一些可疑特征,仅就这一点来讲,绝大多数的加密壳就已经被淘汰掉了。 我们知道,对于加壳后的程序,无论是其区段的数量、名称还是属性都未发生较为明显的变化,由此引来的就是多个区段具有可执行属性,亦或是区段数量与名称等异常情况,这无疑会大大增加加壳后程序的启发式特征。 而免杀壳除了需要完成加密壳的大部分操作外,还要尽可能保证加壳后的程序与原程序不要有太大的差异,比如从PE文件结构的角度来讲要尽可能正常,从入口点的代码的角度来讲要尽可能接近于主流编译器生成程序的入口特征。而完成这些目标的最佳方式就是完全使用C++编写Stub部分,这样壳(Stub部分)的入口点“天生”就具有主流编译器生成程序的入口特征了。 总体而言,免杀壳的主要目的就是能尽可能破坏原有程序的结构,能通过钩子的方式尽可能破坏原有程序的敏感行为,并在此基础上尽可能避免出现PE文件异常的特征。而加密壳除了加密源程序外,其他的都不是它需要关注的。

发表回复

您需要登录后才可以回帖 登录 | 注册会员

本版积分规则


快速回复 返回顶部 返回列表