基礎問題回答

1、殺軟是如何檢測出惡意代碼的？

• 殺軟檢測惡意代碼主要有三種方式：

①特征碼的檢測：殺毒軟件的病毒庫記錄了一些惡意軟件的特征碼，這些特征碼由一個不大於64字節的字符串組成，且是只有該病毒內才出現的字符串，根據已檢測出或網絡上公布的病毒，對其提取特征碼，記錄在病毒庫中，檢測到程序時將程序與特征碼比對即可判斷是否是惡意代碼。

②啟發式惡意軟件的檢測：將一個軟件與惡意軟件的行為、代碼等作比對，如果發現相似度達到一定程度，即判定這個程序為惡意代碼，有一定誤報可能。

③基於行為的惡意軟件檢測：對運行的所有進程進行實時監控，如果有敏感行為會被認為是惡意程序，是一種動態的監測與捕捉；

2、免殺是做什麽？

• 免殺就是通過一些欺騙性的手段讓自己寫的後門在殺軟眼皮底下為所欲為！

3、免殺的基本方法有哪些？

①改變特征碼：對可執行文件加殼；對shellcode進行再編碼；將源代碼用其他語言進行重寫再編譯
②改變行為：如，使用反彈式連接；隧道技術；加密通訊數據
③攻擊一個有漏洞的應用使其成為後門

離實戰還缺些什麽技術或步驟？

• 1、如何神不知鬼不覺的將後門植入其他電腦
• 2、以目前所學的反彈式連接後門，如果植入後被發現了怎麽跑路（所以還是玩玩就算了吧。）

實踐過程記錄

實踐總結與體會

2017-2018-2 20155230《網絡對抗技術》實驗3：免殺原理與實踐