规避反病毒：反病毒是如何工作的

ollydbg · 2022-1-21 17:06:57

在这篇简短的文章中，我们将检查防病毒开发人员用于检测恶意软件的主要方法。

现今大多数防病毒产品只使用少数几个引擎中的一个。每个引擎都有特定的目标。这四个主要引擎是；

静态发动机
动态发动机
启发式引擎
拆装发动机

静态分析

每个引擎都有一个特定的目标，每个引擎都有自己的优点和弱点。例如，大多数人熟悉的静态引擎，只需查找已知恶意软件的签名即可。其中最著名的是Yara签名几乎每天都在更新。

静态引擎简单地将文件与已知恶意软件的签名数据库进行比较。这可能更具有挑战性，因为修改恶意软件(创建不同的签名)相对简单，从而避免了这种统计分析。

动态分析

动态分析更先进一些。它通过其行为来识别恶意软件。动态分析寻找的第一个行为是API调用。动态分析使用系统挂钩来查找恶意行为。此外，动态分析使用沙箱。AV软件创建一个独立于主机内存的虚拟环境，并执行可疑的恶意软件。这样，AV应用程序就可以在安全的环境中分析可疑文件，而不会对物理主机造成风险。

规避反病毒：反病毒是如何工作的 - ollydbg_UltraDebug

启发式分析

大多数AV应用程序现在使用启发式引擎。为了简化，启发式使用旧的规则“如果它走路像鸭子，如果庸医像鸭子，它可能是鸭子”。AV应用程序根据各种因素为每个文件创建一个评分，然后通过统计分析确定它是恶意软件的可能性。例如，启发式将查找与LSASS.exe进程交互的进程、具有信誉软件供应商签名的进程、试图使自身持久的进程以及试图与C&C服务器通信的进程。启发式方法的最大缺点是误报，其中AV应用程序确定一个文件在没有恶意的情况下是恶意的。

规避反病毒：反病毒是如何工作的 - ollydbg_UltraDebug

未包装分析

恶意软件开发人员用来逃避AV应用程序的主要方法之一是打包或压缩他们的代码。通过这种方式，它们可以通过在签名/静态分析中创建AV应用程序无法识别的不同签名来规避静态检测。AV供应商必须为恶意软件开发人员提供的每个封隔器开发一个解包器。这可能是一个非常缓慢和冗长的过程，但如果AV要检测打包的恶意文件，这是必要的。

对于开发规避AV的技术来说，关键是要很好地理解反病毒是如何工作的。既然您有了一个好主意，这些系统就可以工作了，您就可以开始回避AV了。

Pojieba · 2022-1-30 16:34:04

知道反破解吗？

账号		自动登录	找回密码
密码			立即注册

[Windows] 规避反病毒：反病毒是如何工作的

相关帖子