讨论下，什么叫做免杀，免杀考不考虑防御

BHHZDQL

假设一个样本，我让全世界杀软死活扫描不出来，但一运行全世界杀毒软件能杀，你说算不算免杀成功？
免杀到底考不考虑防御，请大家来讨论

shijing34

杀软毕竟也是程序，有自己一套行为规则把控，不运行的样本，有好多杀软都不报的，运行的话，杀软就能判断是否有危险就会杀与不杀啦。比如微点就是纯行为判断，不运行一般不报

z13667152750

监控级别比手动扫描级别低

所以还是有点意义的

过监控比过手动扫描稍微容易点

黑骑士

一直对免杀的概念很混淆，坐前排学习下

李白vs苏轼

如果免杀后

在内存中运行

比如QVM一开始是不监控这种方式的

你觉得有没有意义呢



监控为了减少系统负担

往往会比扫描的优先级低一些

也就是说,

免杀对于过监控来说相对难一点点,

当然这是相对的



如果一个样本免杀到云不会上传

延长样本的对抗周期

你觉得有没有意义呢

现在云安全的情况下

对抗周期是一个病毒最重要的东西


免杀只是提供一个方法

关键怎么用在于个人

如果给一个免杀的方法

只是看到他没提供过主动的方法

就自己创造啊,,他只是来帮助你提高对抗周期的手段而已

不是全套的公用

免杀只是做为一种对抗方式而存在

如果全过,,叫过"全套"

OK?存在的意义,区别都说得很清楚了


另外顺便提一下

还有一种叫过主防无提示

如果你去过样本区你可能就会发现

有一类样本

用来测试主防的

但是他们很多都会被直接扫描杀掉

很多人会强调这个方法用来测主防的

当然免杀一下,

这种方法就可以加强对抗周期

同样的,他也是提供一种方法

有了这种方法,,,你要如何免杀就是你自己的能力了


这个世界有的是方法

创造全套要靠自己,,,

而不是跟那个给方法的人说

你要给我全部的方法

要不你这种方法就是没意义的

那么单一的数学公式对于整个数学世界就不是一个工具而是没有意义了


所以

专业领域的一个关键词

"对抗周期"

zyx9

病毒既然针对性做某个或某些安软的免杀 肯定是要过其层层防御的 只过表面扫描不过内存主防沙盒等 病毒要来何用？ 这是对于好的免杀而言
当然过扫描还是比较容易的 过主防沙盒等难了

aqingge

过了扫苗过了监控并且运行成功，这才能算真正意义上的免杀，说白了，就是做坏事，必免被杀毒软件干掉

【乱】

实战在说明一切
一个杀软就像一个城池
靠兵种的对抗【库】然后靠弓弩手清除敌人数量【启发QVM云鉴定等】之后依靠城墙让对方无法出入【比如主防】
防火墙更像一些间谍来获取敌人情报和进攻路线；但这情报有真有假；这要看病毒精不精，看防火墙智能不智能了；像comodo很牛X但小白用户伤不起~

实战看的是一个杀软全体系的安全指数；一个样本过了查杀 但开启一些特殊技术就被灭了 就毫无意义
过了整个体系才算的上真正免杀
查杀 防护 占用 兼容 误报 甚至工作人员效率缺1不可
查杀弱 防护高那我觉的就可以无视查杀 像瑞星都说他查杀弱但我觉的他防护不错（好久没用了~听说查杀在加强）
占用兼容；养兵千日 用兵一时；还没碰到敌寇国家都被拖垮了~还不如养病毒自在~
误报；盲目杀人非明主也~误报多了 一方面大家经常处于惊恐状，下个游戏被杀了 你是放行还是不玩这游戏呢？误报高的杀软大多人选择前者吧？

效率；云啊 太好了 100个毒30多分钟就能全部分析和入库；一人中毒万民得救啊

纯娱乐~

zhq445078388

看到这里就想起所谓微特征了
加密壳
改个密钥 就不杀了。。。（整体全变了 就像rar改密码）

加密壳大多是静态加密 动态自动解密
然后释放病毒体到内存(有内存运行的高级壳才行 大多是释放到本地 如果本体没有免杀 就会被监控抓到)
然后 动态加密壳 是对抗云安全最爽的 最少是气死趋势和巡警的壳
每次运行 都不定时间自动修改自己的加壳密钥
我记得 我见过的一个 叫“一次一密”动态加密壳
虽然被破了 那个是des的随机密钥 生成的文件的最后部分是被保护的程序 也就是说
被加壳的程序  是被des加密然后贴到最后的
但是密钥的存放位置很白痴 貌似是存放在入口点不远处 用一个jmp命令跳过去
运行起来时候 从指定的密钥点 提取密钥 然后解密 内存运行
而解密完成的数据 以变量形式 仍然放在内存
每隔一段时间（可以设置 最低貌似是两分钟）将解密完成的数据 再次生成随机密钥，其本体内预先有一个模板 将密钥和数据写到指定的模版位置 然后将加密完成的代码 贴到最后
当时貌似只有瑞星能杀
但是现在 似乎谁都能杀了 （金山趋势红伞暂定能杀 具体不清楚 因为这个壳已经找不到了 至少我找不到了）

这是 如果本地没有相应对抗机制 这种东西 估计能让云安全没活路。。

话说 现在更多的是自增算法等？

MagicFuzzX

zhq445078388 发表于 2011-11-24 05:50
看到这里就想起所谓微特征了
加密壳
改个密钥 就不杀了。。。（整体全变了 就像rar改密码）

一般加密壳直接被秒，区段数太少的。。入口点不在指定位置范围的。。IAT加密的。。直接报毒了。。