完美的免殺方法
到目前為止，要實現(xiàn)惡意軟件的“FUD”，加密惡意代碼被認為是個不錯的選擇，不過有幾點要注意：
1.惡意程序在解密時，應(yīng)當也進行代碼混淆
2.當惡意文件在內(nèi)存中運行解密代碼時，我們必須要保證在不重定位絕對地址的情況下進行
3.惡意軟件是否在沙箱環(huán)境中運行，如果是，則立馬停止惡意文件的解密
4.應(yīng)當只對 PE 文件中的 shellcode 或 只有二進制文件的.text部分進行加密，而不是對整個 PE 文件進行，以便把信息熵和降到最低
以下是惡意軟件流程圖。

我們的“殺軟檢測”功能將檢測惡意軟件是否正在沙箱中被動態(tài)分析，如果功能檢測到AV掃描器的任何跡象，則它將再次調(diào)用主函數(shù)或者僅當 “AV Detect” 函數(shù)來用。如果沒有發(fā)現(xiàn)AV掃描器的任何跡象，它會調(diào)用 “解密Shellcode” 的功能。

??