如何有效解决杀软误报问题

ymgsk123

啥是免杀？来自百科的注解：

免杀，也即是反病毒（AntiVirus）与反间谍（AntiSpyware）的对立面，英文为Anti-AntiVirus（简写Virus AV），逐字翻译为“反-反病毒”，翻译为“反杀毒技能”。


有本对比有名的书，想详细学习的同学能够去看看。《黑客免杀攻防》

本来我大约好像只看过目录...( ╯□╰ )

下面我介绍的是自个实习的一些办法，有没有作用，试试就知道了。

01. 简介

免杀大约能够分为两种状况：
二进制的免杀（无源码），只能经过经过修正asm代码／二进制数据／别的数据来完结免杀。
有源码的免杀，能够经过修正源代码来完结免杀，也能够联系二进制免杀的技能。

免杀也能够分为这两种状况：
静态文件免杀，被杀毒软件病毒库/云查杀了，也即是文件特征码在病毒库了。免杀办法也许是上面的两种办法，看状况。
动态做法免杀，运转中执行的某些做法被杀毒软件阻拦报读。做法免杀假如没有源码就不是极好搞了。

下面就静态和动态免杀来详细说说免杀的技能。

02. 静态免杀

关于静态免杀，关于的是杀毒软件的静态文件扫描，云查（病毒库）杀。
杀毒是获取文件一段特征码来辨认病毒文件。

能辨认一个程序是一个病毒的一段不大于64字节的特征串


那杀毒软件是怎样获取文件特征码的？
假如咱们知道了一个文件是病毒，那么经过md5必定能够判别一个即是这个病毒文件，那假如该病毒文件做了小小变动呢，直接md5必定是不行了，那杀毒软件是怎样做的呢？这儿有个叫做含糊哈希（Fuzzy Hashing）算法的东西。

含糊哈希算法又叫依据内容切割的分片分片哈希算法（context triggered piecewise hashing, CTPH），主要用于文件的相似性对比。


大致就能够理解为，不要把一个文件的一切内容都拿来核算hash，而经过分片，取出有些重要（不易改动）的内容进行hash核算，这么就能到达经过一个特征码找到相似的病毒变种。
关于含糊哈希愈加详细的内容能够查看文章后边的参阅文章，这儿不再胪陈。
详细杀毒软件是不是经过这个算法来核算特征码的，我也不能彻底必定（纯猜想加网上一点点信息），可是依据免杀的经历能够总结出几点：
特征码会有多个串组合（削减误报）
代码数据（必定有）
会解析PE，查看附加文件数据、PE文件的资本等等

1. 怎样找特征码


东西查找

多见的特征码定位东西有CCL、MYCCL。东西大致原理即是切割文件，某些切割有些填入数据(0)，假如扫描该有些不报警，则特征码在这个有些。如此反复，直到找到很短的某一段内容。不一样东西之前局别是运用的切割算法不一样，查找特征码的作用不一样。

目前对比常有名望的特征码定位器主要有CCL与MYCCL，他们都选用文件分块定位的办法，定位作用带有命运成份，且也许每次定位出的方位都不尽一样，这个免杀带来了艰难。


后来出来了一款新的特征码定位软件VirTest。下面是作者自个的介绍：
咱们能够这么假定报毒进程，假如查看文件是PE,假如在CODE方位存在 象征A,在DATA方位存在象征B,在资本方位存在象征C,一起满意这个3个条件，那么杀软就会报毒,VIRTEST工作原理即是要找到引起报毒最终一个象征，也即是假定中的象征C。

因此VIRTEST选用2分扫除法，测验象征C地点文件中的方位，因为被杀的文件也许存在多个 相似于ABC这么的连锁条件，所以咱们必需求经过一种扫除机制，先要找最靠近文件前部的连锁条件，扫除去文件尾部数据，当找到第一个连锁条件后，抹掉引象征C，再恢复尾部数据，

然后持续测验另外的连锁条件，直到找到最终一个连锁条件，抹掉后，全部文件免杀了，则阐明特征代码被定为结束了，所以VIRTEST必定能够精确的定位出一切的复合特征。这比文件分块定位法领先得多，更为科学。

东西查找必定是关于二进制文件（有源码的也编译后在查看）。
详细用过MYCCL（运用办法自行查找），的确比手艺切割文件定位便利，也能够找到某些文件的特征码，可是有些时分也许会呈现十分多十分多...的被杀文件切割，然后...溃散了。
后来也用了virtest，感受作者说的挺有道理，应当挺好用吧。然后试了试，的确感受比MYCCL巨大上多了，也能够定位到特征码，可是tmd改了以后怎样还是报呢，横竖你也许会折腾好久...

手艺查找
这儿说的是关于有源码的（二进制就别想手艺了...），办法十分简略。
mian中屏蔽一切代码，编译，扫描。不报的话持续2，假如仍然报毒，去5。
铺开一层（能够多层、二分也能够）函数，编译，扫描。不报的话，重复2。直到定位到某个函数或许多个函数，进入3。
在函数内部屏蔽有些代码（二分），编译，扫描。不报，重复2。
直到定位某段代码（无自定义内部调用），特征码在此。
是不是有附加数据，或许资本存储的文件。有，独自查看该文件或许数据，办法从1开端。假如没有，那去找找PE头吧。

大致流程：
[C++] 纯文本查看 仿制代码
?
01
02
03
04
05
06
07
08
09
10
1. sub1//未报
2. sub1 sub2//未报
3. sub1 sub2 sub3//报
4. sub1 sub2 sub3(sub31)//未报
5. sub1 sub2 sub3(sub31 sub32)//报
6. sub1 sub2 sub3(sub31 sub32(sub321))//报
...

直到找到某API调用，或许逻辑代码（没有自定义函数调用）




此办法，尽管笨，可是定位特征码不会很慢，挺精确。

别的
别找了，直接盲免杀吧（后边详细看，有用）

2. 怎样免杀？
前面现已找到特征码了，怎样免杀呢？
本来前面现已说到了，找到特征码以后，只要改动这个特征码值得话就免杀成功。假如不需求软件正常运转，直接填零得了...恶作剧，这怎样也许。所以修正特征码还得保证软件正常功用。所以也是有讲究的。
常用的修正东西有，OD，C32ASM，UE，010Editor等等。

手艺修正

非源码

1. 数据
假如特征码定位到数据（经过IDA/OD等承认），本来欠好修正，略微不小心就会导致程序不能运转，或许影响程序运转流程或成果。
字符串，假如不影响程序逻辑，能够更换大小写；假如无关紧要的数据，随意更换；等等，看状况而定。
整数，假如不影响成果，更换值，清零等等操作。
地址，基本应当不能修正，详细看状况。
PE头数据，依据PE结构详细来看，无用数据清零或修正，有用数据看状况修正。
最终，终极修正办法，找到拜访数据的代码，直接修正代码拜访数据的地址，数据也能够放到别的地址了，本来就好像修正源码一样修正，必定没有修正源码那么简略（见后）。

横竖特征码定位到数据方位不简略修正（能够再试试后边的盲免杀）。

2. 代码
假如特征码定位到代码（也经过IDA/OD等承认），在不改动程序功用基础上，运用各种办法修正。
等价更换汇编代码，如mov eax，0能够换成xor eax，eax，直接成果一样，二进制代码不一样。
交流代码次序，在不影响逻辑的状况下。
代码块移位，将代码块移动不必的内存方位，经过参加jmp addr越曩昔执行，addr是新的代码块地址。

源码
在有源码的状况下，修正的办法就更灵敏了，更简略了。
假如特征码是数据，那么修正数据方位，拜访数据的代码方位等（思维类推非源码办法）。
加花指令，这是最有用也是最常用的办法，关键在于怎么加话指令。
加数据核算代码，加减乘除各类组合。
加字符串操作代码，增加、删去、查找、更换等。
加多层跳转，跳转间加无效指令（不会执行的）。
加貌似有用的API调用，如LoadLibrary+GetProcAddr+API等。
等等。

东西免杀（盲免杀）


在没找到有用的特征码，或许欠好修正的时分，能够试试这种办法。

资本操作


1. 加资本
运用ResHacker对文件进行资本操作，找来多个正常软件，将它们的资本参加到自个软件，如图像，版别信息，对话框等。
2. 更换资本
运用ResHacker更换无用的资本（Version等）。
3. 加签名
运用签名假造东西，将正常软件的签名信息参加到自个软件中。
几种办法能够更换重复屡次进行组合运用。

PE操作


1. PE优化
运用PE优化东西对文件进行优化，删去0，PE头优化，附加数据等。
2. 增加节
增加节数据，随意参加无效数据。

加壳


能够将加壳简略理解为：解密器/解压器+加密器/紧缩器（初始代码）。
经过加密器/紧缩器将初始代码进行加密紧缩，让其特征码改变躲藏，然后组装上解密器/解压器到文件中，运转是先运转解密/解压器，将加密紧缩内容解密解压，然后持续运转初始代码。
1. 加冷门壳
壳也有特征，闻名壳都现已被剖析的十分多了，杀软基本都能查这类壳，或许主动脱壳，然后进行查杀。
所以加冷门壳，壳特征未被剖析，不能主动脱壳，能够非常好躲藏初始代码，得到免杀作用。
2. 加壳改壳
将常用壳进行修正，让壳特征改变，也能够是杀软失效。
比方修正进口，区段信息修正，进口代码移位。
能够类推为免杀壳，上面介绍的办法都能够运用。

03. 做法动态免杀


杀毒软件如今都会有主防的功用，对歹意做法进行阻拦提示。
比方这些做法：
注册表操作，增加启动项，增加效劳
文件写入、读体系文件、删去文件，移动文件
杀进程，创立进程
写入、绑架等

做法阻拦原理
说白了，歹意做法都是经过API调用来完结的，也许是一个API，也许是多个APi组合。
杀软经过技能手法阻拦这些API调用，经过战略来判别是否归于歹意做法。
关键点：
API
战略（次序，调用源，参数等等）

所以后边的办法即是关于这两点做的工作。

怎么进行做法免杀呢？
下面介绍的办法对非源码、源码都有用，可对错源码修正起来十分十分费事...
1. 更换api
运用一样功用的API进行更换，杀软不也许阻拦了一切API，所以这种办法还是有用的。比方MoveFileEx更换MoveFile。
2. 未导出api
寻觅一样功用的未导出API进行更换，杀软阻拦通常是导出API，或许底层调用，寻觅未导出API有一定作用。
寻觅办法，经过剖析目标API内部调用，找到内部一个或多个未导出API，来完结一样功用。
3. 重写api
彻底重写体系API功用（经过逆向），完结自个的对应功用API，关于ring3的做法阻拦十分有用。比方完结MoveFile等。
4. api+5
ring3的API阻拦经过是挂钩API头几个字节内容，然后进入杀软自个函数进行参数查看之类的。
那么假如调用API时，越过头部几字节，就能够避开这种阻拦办法。
[Asm] 纯文本查看 仿制代码
?
1
2
3
4
5
__API:
1pushebp;
2movebp,esp;
3movedi,edi;
4 ...

调用时，不适用1地址，而运用4地址，然后自个函数内部复原越过几字节的调用。
[Asm] 纯文本查看 仿制代码
?
1
2
3
4
5
__API_MY:
pushebp;
movebp,esp;
movedi,edi;
call4


5. 底层api
该办法相似于2和3，杀软阻拦API也许愈加高层（语义更明白），那就能够找更底层API进行调用，绕过阻拦，比方运用NT函数。
或许经过DeviceIoControl调用驱动功用来完结API功用。
模仿体系调用。
6. 合理更换调用次序
有时阻拦做法是经过多个API组合来完结的，所以合理更换次序，绕过杀软阻拦战略，也能够绕过改做法阻拦。
比方，先创立效劳，再将效劳对应文件复制曩昔。
7. 绕过调用源
经过调用其它进行功用来完结API的功用。对比经典的如，经过rundll32.exe来完结dll加载，经过COM来操作文件等等。

总结
办法大约就总结到这，要非常好的完结免杀，需求各种办法进行合理灵敏组合改变，或许挖掘更多的办法。

留意/窍门
非源码修正时，经过OD能够非常好的完结，合作IDA进行调查，详细参阅OD/IDA运用教程。
源码免杀加花，要灵敏多变，不拘于方法。
做法免杀多测验，猜出杀软阻拦战略，能够更有用的找到绕过办法。

道高一尺，魔高一丈

各路大神有更多的窍门和办法，请不吝赐教，彼此交流。
咱们不做坏事，可是能够了解做坏事的手法，非常好的损坏防御这些手法。



联系我时，请说是在 挂海论坛 上看到的，谢谢！

水准

然而并没有什么卵用