木馬黑盒免殺后可能會留下哪些痕跡

通過黑盒手法處理過的很多的入口點都會或多或少地留下一些痕跡，包括：

• 入口點不在第一個區段或在最后一個區段：這種情況一般發生在經過入口點免殺技術處理過的PE文件中。

• 入口點處代碼為“孤島”狀態：這種情況是指入口點在某個區段的空白區域中，前不著村后不著店，只在入口點附近有一小段代碼的情況。經過免殺新手處理過的程序有時會出現這種情況。

• 入口點在正常范圍之外：因為編譯器的編譯優先級以及一些客觀因素的存在，入口點在代碼區段中的位置往往都是比較靠前的，也就是說其有一個大致的正常范圍，凡是超過這個范圍的應該就是被人為設定過的或被人為處理過的。

• 入口點為一個無效的值：有些駭客在免殺時會將TLS的入口點設為程序真正的入口點，并將PE文件中描述入口點的字段設為一個無效的值。這樣做不但可以保證程序能正常運行，還能避免反病毒軟件的入口點查殺。因此當發現入口點指向的地址明顯無效時，那么就應該判斷此PE文件是否包含TLS結構，如果包含就應判斷TLS的入口點是否符合特征，如果符合特征就應報毒。

• 區段名重復或不屬于正常范圍：目前編譯器編譯出來的PE文件的區段名都遵循一定的規則，凡是不符合這些規則的PE文件必然是由人為因素導致的。通常情況下，應用程序被加殼或此程序被人做過二進制補丁都會留下這種痕跡。

• 擁有可執行屬性的區段數量過多：通常情況下一個PE文件擁有一個具有可執行屬性的區段足矣，因此如果一個PE文件有兩三個區段都具有可執行屬性，那么顯然這情況是不正常的。

回答所涉及的環境：聯想天逸510S、Windows 10。