远控免杀学习笔记

免杀就是反病毒技术，，它指的是一种能使病毒木马免于被杀毒软件查杀的技术。由于免杀技术的涉猎面非常广，其中包含反汇编、逆向工程、系统漏洞等黑客技术，所以难度很高，一般人不会或没能力接触这技术的深层内容。其内容基本上都是修改病毒、木马的内容改变特征码，从而躲避了杀毒软件的查杀。

1、扫描压缩包技术：即是对压缩包案和封装⽂件作分析检查的技术。

2、程序窜改防护：即是避免恶意程序借由删除杀毒侦测程序⽽⼤肆破坏电脑。

3、修复技术：即是对恶意程序所损坏的⽂件进⾏还原

4、急救盘杀毒：利⽤空⽩U盘制作急救启动盘，来检测电脑病毒。

5、智能扫描：扫描最常⽤的磁盘，系统关键位置，耗时较短。

6、全盘扫描：扫描电脑全部磁盘，耗时较⻓。

7、勒索软件防护：保护电脑中的⽂件不被⿊客恶意加密。

8、开机扫描：当电脑开机时⾃动进⾏扫描，可以扫描压缩⽂档和可能不需要的程序

1、内存监控：当发现内存中存在病毒的时候，就会主动报警；监控所有进程；监控 读取到内存中的⽂件；监控读取到内存的⽹络数据。

2、⽂件监控：当发现写到磁盘上的⽂件中存在病毒，或者是被病毒感染，就会主动 报警。 3、邮件监控：当发现电⼦邮件的附件存在病毒时进⾏拦截。

4、⽹⻚防护：阻⽌⽹络攻击和不安全下载。

5、⾏为防护：提醒⽤户可疑的应⽤程序⾏为。

机制：将扫描信息与病毒数据库（即所谓的“病毒特征库”）进⾏对照，如果信息与 其中的任何⼀个病毒特征符合，杀毒软件就会判断此⽂件被病毒感染。杀毒软件在 进⾏查杀的时候，会挑选⽂件内部的⼀段或者⼏段代码来作为他识别病毒的⽅式， 这种代码就叫做病毒的特征码；在病毒样本中，抽取特征代码；抽取的代码⽐较特 殊，不⼤可能与普通正常程序代码吻合；抽取的代码要有适当⻓度，⼀⽅⾯维持特 征代码的唯⼀性，另⼀⽅⾯保证病毒扫描时候不要有太⼤的空间与时间的开销。

特征码类别：

1.⽂件特征码：对付病毒在⽂件中的存在⽅式：单⼀⽂件特征码、复合⽂件特征码 （通过多处特征进⾏判断）；

2.内存特征码：对付病毒在内存中的存在⽅式：单⼀内存特征码、复合内存特征码 优点：速度快，配备⾼性能的扫描引擎；准确率相对⽐较⾼，误杀操作相对较少； 很少需要⽤户参与。 缺点：采⽤病毒特征代码法的检测⼯具，⾯对不断出现的新病毒，必须不断更新病 毒库的版本，否则检测⼯具便会⽼化，逐渐失去实⽤价值；病毒特征代码法对从未 ⻅过的新病毒，⽆法知道其特征代码，因⽽⽆法去检测新病毒；病毒特征码如果没 有经过充分的检验，可能会出现误报，数据误删，系统破坏，给⽤户带来麻烦。

对⽂件进⾏扫描后，可以将正常⽂件的内容，计算其校验和，将该校验和写⼊⽂件 中或写⼊别的⽂件中保存；在⽂件使⽤过程中，定期地或每次使⽤⽂件前，检查⽂ 件现在内容算出的校验和与原来保存的校验和是否⼀致，因⽽可以发现⽂件是否感 染病毒。

机制：通过对病毒多年的观察、研究，有⼀些⾏为是病毒的共同⾏为，⽽且⽐较特 殊，在正常程序中，这些⾏为⽐较罕⻅。当程序运⾏时，监视其进程的各种⾏为， 如果发现了病毒⾏为，⽴即报警。

优缺点：

1.优点：可发现未知病毒、可相当准确地预报未知的多数病毒；

2.缺点：可能误报警、不能识别病毒名称、有⼀定实现难度、需要更多的⽤户参与 判断；

主动防御并不需要病毒特征码⽀持，只要杀毒软件能分析并扫描到⽬标程序的⾏ 为，并根据预先设定的规则，判定是否应该进⾏清除操作 主动防御本来想领先于病 毒，让杀毒软件⾃⼰变成安全⼯程师来分析病毒，从⽽达到以不变应万变的境界。 但是，计算机的智能总是在⼀系列的规则下诞⽣，⽽普通⽤户的技术⽔平达不到专 业分析病毒的⽔平，两者之间的博弈将主动防御推上⼀个尴尬境地。

机器学习识别技术既可以做静态样本的⼆进制分析，⼜可以运⽤在沙箱动态⾏为分 析当中，是为内容/⾏为+算法模式。伴随着深度学习的急速发展，各家⼚商也开始 尝试运⽤深度学习技术来识别病毒特征，如瀚思科技的基于深度学习的⼆进制恶意 样本检测