注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

Syziy`Blog

Syziy`Blog http://Syziy.blog.163.com

 
 
 

日志

 
 

《黑客免杀入门》第一章 和我一起来认识免杀  

2009-11-25 15:48:53|  分类: 黑客反病毒 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
作者: a1pass
来源: 黑客反病毒 (http://bbs.hackav.com)
注意:

转载请务必附带本组信息,否则侵权必究!

《黑客免杀入门》图书总目录:http://bbs.hackav.com/thread-743-1-1.html


    事物总是这样发展,有矛就必然有盾,矛盾的存在,让缤纷世界的发展充满着无限生机,又赋充满无限生机的万物予灵性。站在客观的角度,我们很难说在矛与盾的争锋中谁是对的,谁是主导。然而,狼的存在,让鹿开始选择锻炼奔跑,自然选择会让孱弱的个体在生存竞争中被淘汰,留下的狼和鹿都越来越矫健。于是,我们看见这场较量,让双方都得到了有效的进化,这便是天演,便是自然法则。
    网络安全技术亦是如此。失去了免杀技术而只有反病毒的世界,所谓“发展”和“提高”便都成为了空虚的概念。因为只有在不断的斗争中,矛盾才使得这个世界走向高远,矛盾才使得这些抽象的概念具体化。研究免杀技术,并不是为了破坏网络安全而使病毒泛滥,从网络安全研究者的角度,它有两个意义:
    第一,提高个人技术,拓展知识面。通过对免杀技术的研习,剖析程序的内部构造,可以让我们对病毒木马等恶意程序的运作原理的认识更加理性化,从而,在今后的防范和手工清除方面提供实质性的技术基础。
    第二,推动技术的发展,富有科研价值。研究如何免杀,同样对反病毒技术的提高和发展有一种鞭策和推动的作用。技术的发展在于从两个对立的角度不断变换着思考,这个工作不仅是黑帽子的本职,也是白帽子们需要做的事。
    有着这样的意义,也就有着这样一本书。我们期望它用谦逊的口吻,带着热忱的学习者们循序渐进的步入免杀技术的殿堂,从而为中国的网络安全事业添砖加瓦。
    技术的积累是一个漫长的过程,所以这本书并没有宣扬那种一步登天后便平步青云的错误学习思想,而是仅从一个略熟悉的角度,引导那些初学者们开始探索这个领域,充当一把为大家开启免杀学习之门的钥匙。尔后,继续学习道路依然漫长,只有带着恒心和毅力坚持走下去,信念才会点燃成功的曙光。
   凡事都有艰难的过程,宝剑锋从磨砺出,梅花香自古寒来,愿各位学习者在坎坷求学路上勇敢拼搏。

       此致
共勉

                                              冰血封情 [E.S.T]
                                          戊子年七月廿一日午时于断弦寒香阁

 

一、和我一起来认识免杀
“千里之行,始于足下” –J.R.R.Tolkien

    很高兴您能看到这里!这说明您已经购买了本书,或对本书产生了浓厚的兴趣!本书在在设计前后章节与难度递进时,着重考虑到了零基础的初学者。这一章本想分为一节来写的,但是为了照顾整本书的结构,还是单独分了出来。介绍的内容如标题 “免杀简介” 一样,从什么是免杀开始讲起,一直讲到免杀的作用。即使您不会电脑也能看懂!常言道“好的开始是成功的一半”,祝愿各位读者可以从本书中学到自己想要的知识!

  免杀是一个亦简亦繁的技术,简单到可以点击几下鼠标就达到目的,复杂到需要了解系统底层知识与构架。但是免杀技术是每一位黑客技术爱好者都应该掌握的,也是需要掌握的技术。
  好的开始代表着成功的一半,但是我深知有许多朋友以观摩许久,却不能入门半步,这是一件非常郁闷的事情,而探究其中原因,是因为广大初学者不能对免杀有一个系统的了解。
  而本书的目的就是带领各位读者打破这个屏障,让您从免杀开始,逐步进入神秘的黑客技术殿堂。

1.1 什么是免杀
  免杀,也就是反病毒(Anti Virus)与反间谍(Anti Spyware)的对立面,英文为Anti Anti- Virus(简写Virus AV),逐字翻译为“反-反病毒”,我们可以翻译为“反杀毒技术”。单从汉语“免杀”的字面意思来理解,可以将其看为一种能使病毒木马免于被杀毒软件查杀的技术。但是不得不客观地说,免杀技术的涉猎面非常广,您可以由此轻松转型为反汇编、逆向工程甚至系统漏洞的发掘等其他顶级黑客技术,由此可见免杀并不简单。
  免杀技术属于网络安全中“病毒/木马技术”里的一个分支,它随着杀毒软件的出现而诞生,据江民杀毒软件公司的2007年调查结果显示“41.86%左右的黑客或准黑客正在研究‘免杀病毒’技术,研制 ‘免杀病毒’和在互联网交流‘免杀技术’已经成为黑客们最为热衷、追捧的黑客行为。”,
 


  在黑客技术向商业化靠拢之后,只有有限的渗透技巧可以供广大黑客技术爱好者学习研究,面对渗透技巧的局限性,工具的生命力就显得更为重要了,所以在某一层面来讲,免杀技术的高低已经对渗透效果产生了不可忽视的影响。
  因此,免杀技术已经成为黑客的必备技巧,而学好免杀技术对于一个黑客技术入门的朋友来说,也就显得尤为重要了。
  展望网络世界里以各种方式抛头露面的‘黑客’,其实大概只有约40%的人确实掌握了一定的黑客技术,很显然免杀技术也一定会包含在其中。所以个人认为也许江民公布的数字就与此有关。
  因此对于黑客技术入门的朋友来看,学习免杀技术会在一定程度上使您晋升到这40%的人群里来,然而您要深入的了解一下呢?呵呵!
什么是免杀?这,就是免杀!

1.2 免杀的发展史
  理论上讲,免杀一定是出现在杀毒软件之后的。而通过杀毒软件的发展史不难知道,第一款杀毒软件Mcafee是于1989年诞生的,也就是说免杀技术至少是在1983年以后才发展起来的。关于世界免杀技术的历史信息现在以无从考证,但从国内来讲,免杀技术的起步可以说是非常晚了。

1989:第一款杀毒软件Mcafee诞生,标志着反病毒与反查杀时代的到来。

1997:国内出现了第一个可以自动变异的千面人病毒(Polymorphic/Mutation Virus)。自动变异就是病毒针对杀毒软件的免杀方法之一,但是与现在免杀手法的定义有出入。

2002731:国内第一个真正意义上的变种病毒“中国黑客II”出现,它除了具有新的特征之外,还实现了“中国黑客”第一代所未实现的功能,可见这个变种也是病毒编写者自己制造的。

2004:在圈子内部,免杀技术是由冰狐浪子在这一年首先公开提出,由于当时还没有CLL等专用免杀工具,所以一般都使用WinHEX逐字节更改。

20051:大名鼎鼎的免杀工具CCL的软件作者tankaiha在杂志上发表了一篇文章,藉此推广了CCL,从此国内黑客界才有了自己第一个专门用于免杀的工具。

20052-7:通过各方面有意或无意的宣传,黑客爱好者们开始逐渐重视免杀,在类似于华夏论坛等黑客站点的木马专栏下,开始有越来越多的人讨论免杀技术,这为以后木马免杀的火爆埋下根基。

200508:第一个可查的关于免杀的动画由小野完成,为大量黑客爱好者提供了一个有效的参考,成功地对免杀技术进行了第一次科普。

200509:免杀技术开始真正的火起来。

  由上面的信息可见,国内在1997年出现了第一个可以自动变异的千面人病毒,虽然自动变异也可以看为是针对杀毒软件的一种免杀方法,但是由于与现在免杀手法的定义有出入,所以如果将国内免杀技术起源定位1997年会显得比较牵强。

  一直等到2002731日,国内第一个真正意义上的变种病毒“中国黑客II”才迟迟出现,因此我们暂且可以将国内免杀技术的起源定位在20027月。


1.3 免杀能做什么
      您有没有过心爱的工具被杀毒软件KILL的经历;您有没有过辛辛苦苦整理出来的工具集被杀毒软件搞成面目全非而“义愤填膺”的时候;您有没有过好不容易拿到权限,上传的木马却被杀的痛心时刻?免杀,它能做的就是避免这些事情的发生!使杀毒软件成为摆设!当然,除此之外免杀技术带给我们更多的,将是思想的飞跃与技术的成长。

    但是要想真正明白免杀能做什么,就要先明白免杀会涉及到什么。对于初学者来说,免杀只会涉及到一点基本的PE文件知识与一些免杀工具的使用,而对于高手来说,免杀甚至会涉及到Ring0(内核层)的程序编译技巧。所以免杀这门课程涵盖面还是相当宽泛的。

  下面大家先看看这个简单的免杀例子。

  “中华经典网络军刀NC”以下简称“网络军刀”是一款功能十分强大的网络工具“NC”的可视版,如果大家接触过服务器渗透的话,那对它就一定不会陌生。下面就以“网络军刀”为免杀目标来进行一次简单的针对卡巴斯基的免杀操作。

  首先需要一个无壳版的“网络军刀”,与一款傻瓜式免杀工具“冰枫文件防火墙2.0”。

黑客免杀入门:第一章 -- 1.1 -- 1.3 工具下载: http://bbs.hackav.com/thread-840-1-1.html
  双击运行“冰枫文件防火墙2.0”后单击“改特征码”选项,如图1-2,



  然后单击“源文件”后面的“浏览”按钮,在弹出的对话框中选择我们的免杀对象“网络军刀”如图1-3



  最后单击“保存到”后面的“浏览”按钮,随便选择一个文件夹即可。除此之外,在进行免杀之前还要如图1-4
《黑客免杀入门》第一章 和我一起来认识免杀 - syziy - syziy`Blog



  所示关闭防火墙与杀毒软件的实时保护功能,最终点击“开始”按钮即可进入我们的免杀世界,如图1-5
《黑客免杀入门》第一章 和我一起来认识免杀 - syziy - syziy`Blog



  下面我们正式开始打造自己的第一个免杀黑软,按耐住内心的激动后,让我们一起找到刚才“保存到”后面选择的那个文件夹,可以看见一个以免杀目标“中华经典网络军刀NC”为名的文件夹,现在用杀毒软件扫描这个文件夹,并把所有查出来的病毒删除,如图1-6
《黑客免杀入门》第一章 和我一起来认识免杀 - syziy - syziy`Blog



在这里告诉大家一个小技巧,请大家仔细观察图1-6,如果“以检测”与“以扫描”的文件个数相等的话,则证明这次免杀注定要失败,也就没必要继续下去了。

  但是由图1-6可见我们的运气不错,还可以继续进行,等到杀毒软件将检测出来的病毒全部删除后,在如图1-7
《黑客免杀入门》第一章 和我一起来认识免杀 - syziy - syziy`Blog



所示点击“继续”按钮,然后重复上面的查杀过程,最后剩下来的文件就是我们免杀成功的黑软了!接下来您要做的就是在里面挑出来几个运行没问题的,然后发给您的朋友炫耀一番或是自己悄悄的收藏起来……

  这样,一次简单的免杀操作就轻松完成了!但是这是为什么呢?其中的原理何在呢?相信随着您更加深入的学习,会对其有更加透彻的了解。

  诚然,免杀的本职工作就是使一个具有危害的病毒或木马逃脱杀毒软件的扫描。

  但是除此之外,脱壳、加密、汉化等等其实也是免杀技术的一部分,然而由于他们都有自己独立的分支,所以在免杀技术中也就很少提及这些。但是不可否认,这些也是免杀技术中所包含的。

  鉴于此,我在最后一章会单独提及汉化与免杀的关系,有一些基础的朋友如果有兴趣的话可以直接阅读,以便掌握汉化的魅力。

  到此,恭喜您已经阅读完第一章,我想“千里之行,始于足下”这句话在这里写出来在合适不过了,希望这句话能始终伴随着您读完这本书,相信您在最后回望自己走过的路程时,肯定会对这句话有着更为深刻的理解……

如想获取及时最新章节请关注bbs.hackav.com


  评论这张
 
阅读(729)| 评论(7)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018