免杀常规手法和杀毒引擎原理

反杀毒系列内容为【基础】和【实战】两部分。

基础部分内容含：主要讲解免杀必备的基础知识、使用技巧和经验

实战部分内容：主要讲持久化控制工具

通过反杀毒系列课程的学习，可掌握技术的理论知识和实操手法，最后达到可以独立完成持久化控制。也可以利用技术及时发现计算机的木马病毒，并采取应急措施。

本次介绍反杀毒必备的基础知识部分内容：

一、免杀常规手法

修改特征码：

免杀的最基本思想就是破坏特征，这个特征有可能是特征码，有可能是行为特征，只要破坏了病毒与木马所固有的特征，并保证其原有功能没有改变，一次免杀就能完成了。

修改特征码最重要的是定位特征码，但是定位了特征码修改后并不代表程序就能正常运行，费时费力，由于各个杀软厂商的特征库不同，所以一般也只能对一类的杀软起效果。虽然效果不好，但有时候在没有源码的情况下可以使用。

加壳免杀：

说起软件加壳，简单地说，软件加壳其实也可以成为软件加密（或软件压缩），只是加密（或压缩）的方式与目的不一样罢了。壳就是软件所增加的保护，并不会破坏里面的程序结构，当我们运行这个加壳的程序时，系统首先会运行程序里的壳，然后由壳将加密的程序逐步还原到内存中，最后运行程序。

内存免杀：

CPU不可能是为某一款加壳软件而特别设计的，因此某个软件被加壳后的可执行代码CPU是读不懂的。这就要求在执行外壳代码时，要先将原软件解密，并存放到内存里，然后再通知CPU执行。

资源修改：

有些杀软会设置有扫码白名单，比如之前把程序图标替换为360安全卫士图标就能过360的查杀。

1.加资源

使用ResHacker对文件进行资源操作，找来多个正常软件，将它们的资源加入到自己软件，如图片，版本信息，对话框等。

2.替换资源

使用ResHacker替换无用的资源（Version等）。

3.加签名

使用签名伪造工具，将正常软件的签名信息加入到自己软件中。

二、杀毒引擎管理

杀软常见扫描方式：

1.扫描压缩包技术

2.程序窜改防护

3.修复技术

4.急救盘杀毒

5.智能扫描

6.全盘扫描

7.勒索软件防护

8.开机扫描

 监控技术：

1.内存监控

2.文件监控

3.邮件监控

4.网页防护

5.行为防护

 扫描引擎：

1.特征码扫描

机制：将扫描信息与病毒数据库（即所谓的“病毒特征库”）进行对照，如果信息与其中的任何一个病毒特征符合，杀毒软件就会判断此文件被病毒感染。

2.类别：

文件特征码

内存特征码

进程行为检测法（沙盒模式）：

机制：通过对病毒多年的观察、研究，有一些行为是病毒的共同行为，而且比较特殊，在正常程序中，这些行为比较罕见。

优点：可发现未知病毒、可相当准确地预报未知的多数病毒

缺点：可能误报警、不能识别病毒名称、有一定实现难度、需要更多的用户参与判断

因篇幅有限，只例举了部分内容，如果想了解更多，可以点击下方二维码系统学习。

除以上内容，基础篇还将学习软件环境配置、加载库的调试，持久化控制安装、部署等必备基础知识。

视频课程学习地址：https://www.aqniukt.com/my/course/15407