本文介绍了网络安全中的免杀技术概念、常用分析工具及杀毒软件查杀原理。内容涵盖免杀定义、PE 文件结构、特征码与启发式扫描机制、HIPS 主动防御及云安全策略。同时列举了 Myccl、OD、LordPE 等逆向分析工具的用途,并解释了 API、花指令、加壳等专业术语。旨在帮助读者理解反病毒技术与恶意代码检测的基本逻辑,建立对系统安全防御机制的认知。
免杀,即反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为 Anti-AntiVirus(简写 Virus AV),逐字翻译为'反 - 反病毒',即反杀毒技术。通俗来讲,是指一个被杀软报毒的 PE 文件,经过一系列处理后,使杀软不认为它是一个病毒或木马。
PE 文件指的是 Windows 操作系统上的程序文件,常见的有 exe, dll, sys, com 后缀的文件。PE 文件都有 PE 头和 MZ 标识。
目前主要有三种主流方式:特征码免杀、非特征码免杀和源码免杀。
进行免杀测试时,通常需要使用虚拟机或影子系统来隔离环境,以避免对主机造成损害。此外,需要配置相应的免杀工具包进行测试。
以下是常用的逆向分析与调试工具:
不同杀毒软件采用不同的查杀策略:
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML转Markdown在线工具,online
通过删除不必要的空白来缩小和压缩JSON。 在线工具,JSON 压缩在线工具,online
将JSON字符串修饰为友好的可读格式。 在线工具,JSON美化和格式化在线工具,online
