有一定了解,原始碼免殺指的是在擁有惡意軟體原始碼的情況下,有針對性的對防毒軟體所提取的軟體特徵碼進行處理,使得防毒軟體無法識別惡意軟體的技術,很早以前的軟體後期加殼、入口點模糊以及入口點花指令都是通用的免殺技巧,但是隨著目前防毒軟體普遍使用虛擬機器沙盒技術,這些對抗靜態分析的方法大部分失效了。現在用的比較多的方法應該是原始碼免殺和盜用知名公司的數字簽名以及多型性三種。從理論上來說原始碼免殺應該是對惡意軟體應對防毒軟體治本的方法,因為防毒軟體對已知惡意軟體一般採用檔案特徵碼和記憶體特徵碼兩種掃描方式識別,提取的是惡意軟體的幾小段獨一無二的二進位制程式碼作為識別特徵;提取的程式碼必須滿足兩個條件,第一是獨一無二,別的軟體沒有這幾段程式碼,第二是滿足第一點的情況下足夠短小,這是為了平衡掃描負載與識別準確度的矛盾。在原始碼免殺中,惡意軟體對擁有原始碼的免殺者是單向透明的,你可以從原始碼上把防毒軟體定位的特徵碼從原始碼上修改掉,防毒軟體就不認識這個惡意軟體了,可能擁有啟發式行為分析的防毒軟體會把他標識為未知惡意軟體(不同防毒軟體對同一款惡意軟體的特徵碼不同,需要針對每一款常用防毒軟體分別免殺)。在這場較量中雙方是不對等的,擁有原始碼的一方佔有極大優勢,改變編譯選項或者稍微修改原始碼都會在二進位制程式碼層面上形成巨大差別,防毒軟體只能看見二進位制程式碼,又要重新提取新的特徵碼,標明該惡意軟體出現新變種,工作量比原始碼免殺者大了無數倍(當然防毒軟體現在有智慧化特徵碼提取軟體,但也要人來稽核把關)。
有一定了解,原始碼免殺指的是在擁有惡意軟體原始碼的情況下,有針對性的對防毒軟體所提取的軟體特徵碼進行處理,使得防毒軟體無法識別惡意軟體的技術,很早以前的軟體後期加殼、入口點模糊以及入口點花指令都是通用的免殺技巧,但是隨著目前防毒軟體普遍使用虛擬機器沙盒技術,這些對抗靜態分析的方法大部分失效了。現在用的比較多的方法應該是原始碼免殺和盜用知名公司的數字簽名以及多型性三種。從理論上來說原始碼免殺應該是對惡意軟體應對防毒軟體治本的方法,因為防毒軟體對已知惡意軟體一般採用檔案特徵碼和記憶體特徵碼兩種掃描方式識別,提取的是惡意軟體的幾小段獨一無二的二進位制程式碼作為識別特徵;提取的程式碼必須滿足兩個條件,第一是獨一無二,別的軟體沒有這幾段程式碼,第二是滿足第一點的情況下足夠短小,這是為了平衡掃描負載與識別準確度的矛盾。在原始碼免殺中,惡意軟體對擁有原始碼的免殺者是單向透明的,你可以從原始碼上把防毒軟體定位的特徵碼從原始碼上修改掉,防毒軟體就不認識這個惡意軟體了,可能擁有啟發式行為分析的防毒軟體會把他標識為未知惡意軟體(不同防毒軟體對同一款惡意軟體的特徵碼不同,需要針對每一款常用防毒軟體分別免殺)。在這場較量中雙方是不對等的,擁有原始碼的一方佔有極大優勢,改變編譯選項或者稍微修改原始碼都會在二進位制程式碼層面上形成巨大差別,防毒軟體只能看見二進位制程式碼,又要重新提取新的特徵碼,標明該惡意軟體出現新變種,工作量比原始碼免殺者大了無數倍(當然防毒軟體現在有智慧化特徵碼提取軟體,但也要人來稽核把關)。