西瓜博客

1.针对常见杀毒软件应用技术免杀的理论分析

卡巴斯基7.0

启发式扫描技术

主动防御技术

超强脱壳能力

对病毒上报反应迅速

瑞星2008

超强内存特征码查杀

三层架构主动防御

第一层：资源访问控制层（即HIPS）
       它通过对系统资源（注册表、文件、特定系统API的调用、进程启动）等进行规则化控制，阻止病毒、木马等恶意程序对这些资源的使用，从而达到抵御未知病毒、木马攻击的目的。

第二层：资源访问扫描层（即传统的文件监控、邮件监控等）
       通过监控对一些资源，如文件、引导区、邮件、脚本的访问,并使用拦截的上下文内容（文件内存、引导区内容等）进行威胁扫描识别的方式，来处理已经经过分析的恶意代码。

第三层：进程活动行为判定层（危险行为判定、DNA识别）
       进程活动行为判定层自动收集从前两层传上来的进程动作及特征信息，并对其进行加工判断。瑞星专家经过对数十万病毒的危险行为进行分析，提炼，设计出全新的主动防御智能恶意行为判定引擎。无需用户参与，该层可以自动识别出具有有害动作的未知病毒、木马、后门等恶意程序。

金山毒霸2008
采用了全新的“病毒库＋主动防御＋互联网可信认证”为一体的三维互联网防御体系

金山数据流

江民2008
双核引擎优化技术
智能主动防御
虚拟机脱壳技术

NOD32
高级启发式

麦咖啡/诺顿/AVG/avast/小红伞/微点/360安全卫士

                               /通用转跳发：就是把特征码跳转到0区域，运行完后在跳回原地继续运行。
                               |
                               |                      /上移法：根据代码的特点把特征码向上移动.\
                               |特征码移动法：       |有时候是整个区段上移以后介绍
                               |                      \下移法：根据代码的特点把特征码向下移动./
                               |
                               |ＰＥ资源移动:把特征区段上下移动,在C32下在修正
                               |
              /修改特征码免杀 |区段加密法：用vmprotect类的加密工具把特征代码处加密。
              |                |
              |                |大小写替换法：在C32下发现特征码为字符串，可修改大小写达到免杀。
              |                |
              |                |PE头修改法：在C32下把PE头上移在修正头PE大小。（通常用在最后有反调         
              |                |试作用）
              |                |
              |                |出入表处修改：有些字符串在入表处我们无法用大小写替换法修改，用C32
      文件免杀|                |把入表处特征000掉然后在LordPE中修正。(同免杀内存)
              |                |
              |                |等量替换法：把指令换为一些相似指令，或把16进制的数字改为大1或小1
              |                \的数字。
              |
              |加壳免杀：就是加一些生僻的壳，多重加壳。
              |
              |
              |技巧免杀：入口加一,入口PUSH改POP等等
              |
              |
              |改壳：修改壳的特征码
              |
              \加花免杀：加花对卡巴最有效

下载地址：