论文部分内容阅读
狼的存在,马鹿开始选择锻炼奔跑,自然选择会让孱弱的个体在竞争中被淘汰,留下的狼和鹿都越来越矫健。网络安全技术亦是如此,没有免杀技术而只有反病毒的世界,所谓“发展”和“提高”便成为空洞的概念。木马免杀技术不仅可以拓展编程思路,促进编程技术的发展,还可以推动反病毒技术的发展,富有挑战性。本文在研究木马免杀技术的理论基础上,针对现实中的多款主流反病毒软件,成功实现了已编译木马免杀(又称无源免杀)及未编译木马免杀(又称有源免杀)。
本文首先讨论了木马技术和反病毒技术现状。木马植入的一大难点就是免杀性,木马在植入目标系统后,必然会以各种免杀技术隐藏自身,避免被反病毒软件发现,尽可能延长生存期。木马免杀技术主要分为两类:编译木马免杀和未编译木马免杀。在本文中,结合PE文件结构、特征码定位技术、反病毒软件原理,构建了两个可行的免杀执行方案。采用附加数据加密、输入表函数隐藏、特征码等价替换、字符串及输出表函数名加密等免杀技术,实现了编译木马的免杀。结合PE文件特征码偏移与源程序代码的对应关系,特征字符串变换、动态链接调用输入表函数等免杀技术,实现了未编译木马的免杀。免杀后的木马功能完整的同时,能使反病毒软件主动防御失效。其次,通过实验对免杀木马进行了多种实例测试,给出了测试结果和评价。实验表明免杀后的Pcshare与GhOst rat3.6可以逃过多款主流反病毒软件的查杀,验证了免杀执行方案、免杀技术是可行的、有效的。最后,对全文工作进行了总结,并对今后的研究工作提出了展望。