技術領域

本發明屬于計算機網絡安全技術領域，具體涉及一種基于內存的免殺方法，可使文件避免殺毒軟件基于特征碼進行的查殺。

背景技術

當今殺毒軟件的主流技術以特征碼檢測為主，究其原因，一是該技術研究起始時間最早，發展最為成熟；二是能夠有效標識病毒，且基于特征碼檢測開發的引擎檢測效率高，準確性高，因此為大多數防毒軟件產商所采用。鑒于此，國內外逐步開展了基于特征碼的免殺技術研究。

目前研究成果有十六進制免殺、指令順序調換法、加冷門殼等技術、以及后來發展起來的變形技術等，大都是對軟件本身含有的特征碼進行改寫或隱藏。

修改特征碼，必需對PE文件中包含的特征碼進行定位，并根據其所在的位置選擇相應的修改策略。PE文件是WINDOWS系統中可執行的文件，全稱為Portable?Execute,常見的EXE、DLL、OCX、SYS、COM都是PE文件。

傳統的定位方法是采用逐步替換法，其思想是將PE文件的一個區段平均分割成N個小區間，每次使用0x00或者0x90替換其中一個小區間，分別進行N次操作。使用該方法定位單一特征碼與復合特征碼時，需要多次手工操作，嘗試覆蓋所有特征碼范圍，但在進行精確定位的進程中相互之間的特征碼又會產生干擾，以至于無法正確地定位到特征碼。傳統的逐塊替換法在定位多重特征碼上存在不足，因此，需要對該方法進行改進，以適應于定位不同類型的特征碼。

現有技術中基于特征碼的免殺方法具有明顯的不足：一方面，免殺持久度不夠，大多數在1周內又需要重新修改特征碼；另一方面此類免殺只針對單一的特定軟件進行免殺，并不適合批量處理。

發明內容

本發明的目的在于針對上述問題，提供一種基于內存的免殺方法，可使文件繞過現有殺毒軟件的查殺機制，其達到免殺后的代碼具有持久性，不易被發現。

為實現上述目的，本發明采用如下技術方案：

一種基于內存的免殺方法，其步驟包括：

1）對需要免殺的PE文件進行去PE化，然后進行加密和壓縮處理；

2）將加密和壓縮處理后的文件以資源的形式合并在在正常的PE文件中；

3）運行合并后的PE文件，對資源進行解壓、解密和恢復PE化，并按PE文件格式存儲在內存中；

4）進行輸入表數據填充和重定位數據填充，以修復PE文件；

5）運行修復后的PE文件。

進一步地，所述去PE化包括去掉PE頭和DOS頭，所述恢復PE化包括恢復PE頭和DOS頭。具體實施時，可以通過對需要免殺的PE文件的前2個字節清0（固定值為“MZ”）實現去PE化，進而通過在資源中的前2個字節中加上固定值（MZ）實現恢復PE化。

進一步地，采用RC4算法進行所述加密和解密處理，采用zlib算法進行所述壓縮和解壓處理。

進一步地，所述輸入表數據填充是在輸入表結構中填充需要的DLL函數的地址。具體的輸入表數據填充方法是：首先搜索OriginalFirstThunk，找到之后加載程序迭代搜索數組中的每個指針，找到每個IMAGE_IMPORT_BY_NAME結構所指向的輸入函數的地址，然后用函數真正入口地址來替代FirstThunk數組中的入口，進行數據填充；其中OriginalFirstThunk是32位RVA，指向一個以0結尾的IMAGE_THUNK_DATAs數組；FirstThunk是指向IMAGE_THUNK_DATAs數組的32位RVA，IMAGE_IMPORT_BY_NAME是指一個函數名的結構體，包括2個字節的序號和函數名。

進一步地，每個重定位數據是16位的，包括低12位的重定位位置和高4位的重定位類型。具體的重定位數據填充的方法是：通過相對的虛擬地址加上PE的加載基地址得到一個實際地址，該地址存放著要進行重定位處理的數據，從該地址中取出數據，并用取出的數據減去PE頭中的鏡像基址，再加上PE的加載基地址。

本發明的基于內存的免殺方法，首先對需要免殺的PE文件進行壓縮和加密處理，然后合并在正常的文件中，正常文件運行后先解壓解密免殺后的PE文件，再通過PE加載技術加載解密后的PE文件。該方法中，存儲在磁盤中的文件都是去PE化和加密壓縮的，殺毒軟件無法去檢測，只有在程序運行時才在內存中對文件進行恢復，因此可以繞過現有殺毒軟件的查殺機制，達到長期性的免殺作用，而且具有防云查殺、內存查殺的作用，對任何一個需要免殺的軟件都有效果，成本低，效率高。

圖1為本發明實施例的基于內存的免殺方法的處理流程圖。