杀毒软件的工具讲述.docx

/sectool/102595.html 那些年，我们用来“躲避”杀毒软件的工具 在渗透测试的时候，我们可能需要规避杀软程序，特别是在post攻击阶段要在目标机器上执行特定文件的时候。有时候，绕过特定的杀软是一个挑战，因为并没有标准的规避杀毒软件的方法和技术。因此，我们需要尝试一个不同的方法来绕过它们。这篇文章将介绍常用的规避杀软的工具。 文件分割和十六进制编辑器 我们要讨论的第一个技术就是使用文件切割工具来定位杀软检测的特征，然后修改它。这是一个比较老的绕过杀软的办法。如果我们能够精确定位出被检测的特征，这个技术是很有效的。然而，这个技术也有限制。如果我们破坏了应用程序的功能，即便我们规避了杀软也是无用的。所以，只要我们在修改特征的时候没有改变它的功能，就是可以的。 这可以使用文件分割工具来实现，它能把二进制分割成多个部分。分割方式应该是这样的，每一个部分都比前一个部分多一个固定大小的内容。然后，我们使用杀软扫描这些分割好的块儿，判断哪一个块儿被首先标记为恶意软件。我们需要重复这个过程直到定位出特征的确切位置。“Dsplit”和“Evade”之类的工具就可以用来分割文件。一旦定位出特征，我们需要修改它然后保存。 让我们用一个例子来说明它是怎样对抗杀软的吧。 我从 HYPERLINK /research/windows-credentials-editor/ \t _blank