木马免杀绝招以及常用的修改方法

木马免杀绝招以及常用的修改方法

概述

在当前网络安全形势下,许多杀毒软件都会对常见的木马进行识别和拦截,因此,黑客们会采用各种方式对木马样本进行修改,以实现免杀的目的。本文将介绍一些常用的木马免杀绝招以及修改方法,帮助读者更好地了解木马免杀技巧。

方法一:代码混淆

策略

代码混淆是指将程序代码进行加密、压缩、重写以及添加虚假代码等方式,使得病毒代码难以被查杀。通过混淆,可以使得病毒样本不易被杀软所识别,同时可以减小样本的大小。

示例

# 混淆前
def func():
    print("Hello,world.")

# 混淆后
a = ord('H') << 6
b = ord('e') << 6
c = ord('l') << 6
d = ord('l') << 6
e = ord('o') << 6
f = ord(',') << 6
g = ord('w') << 6
h = ord('o') << 6
i = ord('r') << 6
j = ord('l') << 6
k = ord('d') << 6
l = ord('.') << 6
m = a + b + c + d + e + f + g + h + i + j + k + l
exec(chr(m >> 6) + chr(m & 0x3f))

方法二:反调试

策略

通过反调试技术,可以检测代码是否在调试器中运行,并在检测到调试器时停止运行。在常见的反调试技术中,可以使用IsDebuggerPresent函数进行检测调试器是否存在,以及使用PEB结构体中的BeingDebugged字段检测是否正在被调试等。

示例

// 反调试前
int main()
{
    printf("Hello,world.\n");
    return 0;
}

// 反调试后
int main()
{
    if (IsDebuggerPresent()) {
        printf("Debugger detected.\n");
        return 0;
    }
    printf("Hello,world.\n");
    return 0;
}

方法三:虚拟化

策略

虚拟化技术可以将恶意代码嵌入到虚拟机中运行,并使用加密等方式难以被杀软所识别。通过虚拟化,可以隐藏程序的真实行为,增加杀软的检测难度。

示例

# 虚拟化前
def func():
    print("Hello,world.")

# 虚拟化后
import base64
import marshal

data = base64.b64decode("YwAAAAXzAAAADwAAAGwAAABlAAAAcQEAAEAAAEiAAAAQQAAAHgAAAAAAAAAAABxAgAAbAAAAA==")
code = marshal.loads(data)
exec(code)

方法四:反射

策略

通过反射技术,可以动态地生成代码并执行,增加恶意代码的多样性,从而增加杀软的检测难度。通过反射,可以动态地生成函数、类等,并且可以加入各种混淆、加密等措施来尽可能的隐藏恶意代码。

示例

# 反射前
import os
os.system("calc.exe")

# 反射后
import os

function_name = "".join([chr(ord(i) - 1) for i in ['d', 'p', 'n', 't', 'z', 't', '(']])
function = getattr(os, function_name)

parameter = "".join([chr(ord(i) - 1) for i in ['dbmd', '.gf', 'f']])
function(parameter)

结论

针对木马免杀,可以采用多种方式进行修改,如代码混淆、反调试、虚拟化和反射等。通过这些技巧的使用,可以增加恶意代码的多样性,并增加杀软的检测难度,从而达到免杀的目的。当然,这些技巧也都有着各自的局限性,需要根据具体情况灵活运用。

本站文章如无特殊说明,均为本站原创,如若转载,请注明出处:木马免杀绝招以及常用的修改方法 - Python技术站

(0)
上一篇 2023年6月26日
下一篇 2023年6月26日

相关文章

  • vue2与vue3中生命周期执行顺序的区别说明

    Vue2与Vue3中生命周期执行顺序的区别说明 Vue2和Vue3是两个较为流行的版本的Vue框架。两个版本的组件生命周期函数执行顺序有一些区别。本文将分析并比较Vue2和Vue3中组件生命周期函数的执行顺序,同时给出两个示例以便更好地理解。 Vue2生命周期执行顺序 beforeCreate 在Vue2中,组件实例被创建后,会立即执行beforeCreat…

    other 2023年6月27日
    00
  • SpringBoot+docker环境变量配置详解

    以下是关于“SpringBoot+docker环境变量配置详解”的完整攻略。 SpringBoot+docker环境变量配置详解 环境变量简介 环境变量是指在操作系统中设置的一些参数和选项,可以用于在不同的应用程序之间传递信息,或者指导程序的运行。在开发中,我们可以使用环境变量来保存一些不想暴露在代码中的重要参数,比如数据库连接信息、账号密码等。在docke…

    other 2023年6月27日
    00
  • Ubuntu系统下网络配置文件解析与说明

    下面我将详细讲解“Ubuntu系统下网络配置文件解析与说明”的完整攻略: Ubuntu系统下网络配置文件解析与说明 什么是网络配置文件? 在Ubuntu系统中,网络配置文件用于配置网络连接和网络设备。配置文件通常存储在/etc/netplan/目录下。该目录中包含一个或多个*.yaml文件,每个文件都包含一个或多个网络配置。 每个网络配置文件包含以下字段: …

    other 2023年6月25日
    00
  • JS禁止浏览器右键查看元素或按F12审查元素自动关闭页面示例代码

    本攻略将为大家介绍如何使用JavaScript禁止浏览器右键查看元素或按F12审查元素自动关闭页面示例代码。以下是操作步骤: 步骤一:在HTML文件中引入JavaScript文件 在HTML文件中引入以下JavaScript文件,复制下方代码并粘贴至HTML文件的<head>标签中: <script type="text/java…

    other 2023年6月27日
    00
  • mysql-sql索引性能-asc与desc

    MySQL SQL索引性能:ASC与DESC的完整攻略 在MySQL中,索引是提高查询性能的重要手段之一。而在使用索引时,我们还需要考虑到索引的排序方式,即ASC(升序)和DESC(降序)。本文将介绍MySQL SQL索引性能中ASC与DESC的完整攻略,包括索引的排序方式对查询性能的影响、如何选择索引排序方式以及示例说明。 索引的排序方式对查询性能的影响 …

    other 2023年5月8日
    00
  • WPF学习09:数据绑定之 Binding to List Data

    WPF学习09:数据绑定之 Binding to List Data 在WPF中,数据绑定是一项非常重要的功能,它可以让我们将UI元素与数据源进行绑定,使得数据的变化能够自动地反映到UI上。本文介绍如何绑定列表数据到WPF的UI元素中。 Binding to List Data 在WPF中,Binding to List Data是一种常见的数据绑定方式,它…

    其他 2023年3月28日
    00
  • 后期生成事件命令copy/y

    当然,我可以为您提供有关“后期生成事件命令copy/y”的完整攻略,以下是详细说明: 什么是后期生成事件命令copy/y? 后期生成事件命令copy/y是一种用于Windows操作系统中复制文件的命令,它可以在后期生成事件中使用。这个命令可以帮助您在构建过程中制文件,以便在部署过程中使用。 后期生成事件命令copy/y的使用攻略 以下是后期生成事件命令cop…

    other 2023年5月7日
    00
  • vite与xcode环境变量配置记录详解

    Vite与Xcode环境变量配置记录详解 介绍 Vite是一个基于ES module的前端构建工具,开发者可以使用Vite来开发Vue.js应用或普通的HTML/CSS/JavaScript应用。 Xcode是苹果公司推出的开发iOS应用的集成开发环境。 在使用Vite和Xcode开发应用的过程中,有时需要进行一些环境变量的配置,本文将详细介绍这方面的内容。…

    other 2023年6月27日
    00
合作推广
合作推广
分享本页
返回顶部