免杀技术（详细）

恶意软件

● 病毒、木马、蠕虫、键盘记录、僵尸程序、流氓软件、勒索软件、广告程序
● 在用户非资源的情况下执行安装
● 出于某种恶意的目的：控制、窃取、勒索、偷窥、推送、攻击。。。。。

恶意程序最重要的防护手段

● 杀毒软件 / 防病毒软件
● 客户端 / 服务器 / 邮件防病毒

检测原理

● 基于二进制文件中特征签名的黑名单检测方法
● 基于行为的分析方法（启发式）

事后手段

● 永远落后于病毒发展

修改二进制文件中的特征字符

● 替换、擦除、修改

加密技术（crypter）

● 通过加密使得特征字符不可读，从而逃避AV检测
● 运行时分片分段的解密执行，注入进程或AV不检查的无害文件中

防病毒软件的检测

● 恶意程序本身的特征字符
● 加密器crypter的特征字符

恶意软件编造者

● 编写私有RAT软件，避免普遍被AV所知的特征字符
● 使用独有crypter软件加密恶意程序
● 处事低调，尽量避免被发现
● 没有能力自己编写恶意代码的黑客，通过直接修改特征码的方式免杀
● Fully UnDetectable是最高追求（FUD）

AV厂商

● 广泛采集样本，尽快发现新出现的AV程序，更新病毒库
● 一般新的恶意软件安全UD窗口期是一周左右
● 与恶意软件制造者永无休止的拉锯战
● 新的启发式检测技术尚有待完善（误杀漏杀）

单一AV厂商的病毒库很难达到100%覆盖

https://www.virustotal.com/
○ 接口被某些国家的AV软件免费利用，没有自己的病毒库

http://www.virscan.org/
● 在线多引擎查杀网站与AC厂商共享信息
● 常用RAT软件
○ 灰鸽子、波尔、黑暗彗星、潘多拉、NanoCore

NanoCore简单教程

注：文件自行寻找，需要可私信我
● 创造木马程序
输入控制端IP地址和端口

● 然后就可以生成木马程序

● 然后你传入被控机运行，就可以对其控制

● 例如远程发送信息

被控端可以收到信息

● 查看被控机器任务进程

● 远程查看桌面

● 还有键盘记录器

● 放入virustotal在线检测平台可扫出来为木马程序