厦门网站建设工程平面设计师需要学习什么

厦门网站建设工程,平面设计师需要学习什么,网络网页设计制作公司,南昌市建网站的公司免杀对抗——第一百六十天 C2远控篇CCEXE处理减少熵值加自签名详细信息特征码源码定位 C2远控 - EXE处理-减少熵值自签名详细信息 恶意软件会采取许多策略和技巧来从 AV 引擎的扫描中隐藏恶意软件。像shellcode加密#xff0c…免杀对抗——第一百六十天C2远控篇CCEXE处理减少熵值加自签名详细信息特征码源码定位C2远控 - EXE处理-减少熵值自签名详细信息恶意软件会采取许多策略和技巧来从 AV 引擎的扫描中隐藏恶意软件。像shellcode加密函数调用混淆之类的东西像这种技术本质上是在加密和压缩数据因此提高了数据的不可预测性/无序性也就是提高了熵。所以我们可以根据熵值捕获文件熵越大数据就越有可能被混淆或加密文件也就越有可能是恶意的熵是一种简单有效的检测技术但并不能完全识别所有恶意代码。因此杀毒软件通常使用熵作为其他技术的补充以更好地识别潜在的威胁。如何知道文件的熵值呢我们可以参考这个项目https://github.com/langsasec/File-Entropy-Calculator如何降低文件的熵值呢我们可以使用Restorator这个软件首发 Restorator 2018 v3.90 Build 1793 Full 汉化版 - 吾爱破解 - 52pojie.cn破解版下载需谨慎比如我们用CS生成一个原生的木马然后看一下他的熵值可以看到熵值是5.23挺高的然后这个文件我们放在火绒上肯定是杀的我们尝试通过Restorator工具降低他的熵值一般都是添加常用软件以及光标然后将生成添加完毕的木马导出来查看他的熵值发现确实减小了但是仍然不免杀当然这里只是演示有这种手法至于效果可能不是那么明显当然我们也可以加详细信息以及签名这种方法针对绕过360的杀毒比较好详细信息的话可以直接用刚才的工具去添加签名的话可以使用网上的工具去窃取正规软件的签名secretsquirrel/SigThief: Stealing Signatures and Making One Invalid Signature at a TimethelostworldFree/Sign-Sacker: Sign-Sacker(签名掠夺者)一款数字签名复制器可将其他官方exe中数字签名复制到没有签名的exe中。这里我们用第一款工具简单演示一下输入如下命令python .\sigthief.py -i正版软件名-t目标文件名-o输出文件名然后我们就可以看到生成的文件当中有了钉钉的签名虽然这样火绒依旧会杀因为原生的CS木马特征实在是太明显了但是还是有这个思路即可C2远控 - EXE处理-特征码定位汇编或源码修改杀毒软件最基本的原理就是通过特征码去识别是否是木马所以我们可以尝试修改这种特征码去绕过杀毒软件但是目前的杀软都是多角度多方面去判定一个文件是否恶意所以这个方法只是说结合之前的知识可能会有一定的效果我们用上节课的UUID加载木马来做这个实验简单看看原理首先生成一个木马用特征码定位工具来看杀毒杀的是哪一部分代码可以用的特征码定位工具有mattkretz/virtest: header-only unit test framework类人猿特征码定位工具这里用第一个工具扫描木马的特征码等待他扫描完毕之后就会给出杀软查杀的特征码部分但是这里并没有什么东西有的可能会有明显的特征码比如那就可以直接到源码中修改对应的部分替换函数或者函数回调来绕过即可但是这个只能说是绕过一些静态免杀