加壳解决杀毒软件误报
来源:互联网 发布:淘宝打印机 怎么设置 编辑:程序博客网 时间:2024/06/10 07:35
就标题而言,好像给人印象更多的是,加了壳才报各种病毒。其实也不尽然,掌握方法和策略至关重要。根据我开发 VCProtect 的经历,总结了几条经验与大家分享。
先说一下杀毒软件的扫描机制,谈杀毒软件就离不开病毒。
DOS时代是个真正没有硝烟的战场,各种病毒技术层出不穷,而代码变形技术就是那个时代的产物,为了应对杀毒软件的特征扫描,病毒会将自身加密,每次加密特征码都不一样。一个病毒上百万种的变种毫不夸张,这时杀毒软件处于下风,必须收集足够多的特征才能有效定位病毒体,时至今日依然如此,只是多了一些辅助机制。精确定位病毒的时代一去不复返了。
WIN32时代,似乎杀毒软件更忙了,既需要应付病毒也需要对付木马等。WIN32是API的时代,BIOS调用已然不在,IO操作都需要通过API调用来完成,病毒木马的重要属性就是完美的复制自己,必须要调用API。所以杀毒软件盯上了PE的导入表特征,再结合代码特征,虚拟机解码等进行扫描。
也就是说,如果没有变形技术,代码没有加密,也就不会有误报了。当然杀毒软件也不会头疼了,终结这种现象的恰恰是我们自己,这些都是废话。。。
综合以上行为,我们需要做如下处理:
1.变形或者加密,解决代码特征
2.处理导入表
说明,第一点变形或加密,解决代码特征问题,需要有一个好点的变形加密引擎,这里不需要整个PE加密或变形,适度就行不然影响程序运行效率,最理想的是只将特征码消除即可。变形加密引擎要足够随机,必须抗虚拟机解码,不然起不到丝毫作用。
第二点,处理导入表,根据病毒木马特征进行屏蔽,例如文件,注册表相关API要保护或隐藏起来。处理起来需要根据经验多试几次。
使用 VCProtect针对以上几点可以做到不报毒,还有一点需要说明,小的PE文件很容易报毒,看来也不是越小越好。似乎有点做广告的嫌疑了,不过我想其他加壳工具也应该能做到。
最后,杀毒软件厂商也不希望看到误报情况,只是各位技术太牛,杀软处理不了。也没办法大家还要吃饭的,只是希望大家遇到报毒别像中枪似的。
参考:www.vcprotect.com
- 加壳解决杀毒软件误报
- QT5.8加Q_OBJECT报错解决
- 易语言 减小体积、减少杀毒软件误报
- 原创软件误报? 杀毒软件厂商误报分析提交地址
- ~~~杀毒软件
- 杀毒软件
- 杀毒软件
- 解决杀毒软件不能启动的一种方法
- 周鸿祎:杀毒软件已不能解决互联网安全问题
- 最好用的杀毒软件avast!antivirus加免费注册码!
- 一直报无法找到网页 没加$ 郁闷了一下午才解决的
- Oracle Form 问题集锦 - 加弹性域后查询报错的解决
- 解决AVAST杀毒软件导致系统启动缓慢的问题
- 解决360等杀毒软件阻止文件替换的问题!
- 在xp系统WMI检测不到杀毒软件-已经解决
- 解决NOD32的误报问题
- java解决加一问题
- 重写方法 加@override报错
- 程序员的健康作息时间
- java - LDAP快速入门
- 去除Xamarin.iOS输入用户名和密码的方法
- 差分约束系统
- MySQL新建用户,授权,删除用户,修改密码
- 加壳解决杀毒软件误报
- OpenGL: 模板缓冲区
- 3.4 linux oracle学习
- Spring MVC 中的基于注解的 Controller
- 浮点数二进制表示
- Mac 快捷键符号 斜箭头
- 请问如其人请问未确认去
- jquery 校验
- Oracle数据库冷备恢复二例