当前位置：首页 > 范文大全 > 实用文>简单介绍特征码修改技术

简单介绍特征码修改技术

2022-08-30 08:20:01 收藏本文下载本文

“jiqinglanghua”通过精心收集，向本站投稿了12篇简单介绍特征码修改技术，下面是小编精心整理后的简单介绍特征码修改技术，仅供参考，大家一起来看看吧。

简单介绍特征码修改技术

篇1：简单介绍特征码修改技术

如果你想学好免杀技术，那么特征码修改技术一定要理解透彻，

简单介绍特征码修改技术

。

1.基础的汇编语言

2.修改工具(不指那些傻瓜式软件)。如：

OllyDbg . PEditor. C32ASM . MYCCL复合特征码定位器。UE .OC. 资源编辑器等。还有一些查壳脱壳软件(如：PEID RL脱壳机等) . 以下是常用的几种免杀方法及工具：

一、要使一个木马免杀

首先要准备一个不加壳的木马，这点非常重要，否则免杀操作就不能进行下去。然后我们要木马的内存免杀，从上面分析可以看出，目前的内存查杀，只有瑞星最强，其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀，要进行内存特征码的定位和修改，才能内存免杀。

二、对符其它的杀毒软件

比如江民，金山，诺顿，卡巴。我们可以采用下面的方法，或这些方面的组合使用。

1>.入口点加1免杀法。

2>.变化入口地址免杀法

3>.加花指令法免杀法

4>.加壳或加伪装壳免杀法。

5>.打乱壳的头文件免杀法。

6>.修改文件特征码免杀法。

第三部分：免杀技术实例演示部分

一、入口点加1免杀法：

1.用到工具：PEditor

2.特点：非常简单实用，但有时还会被卡巴查杀。

3.操作要点：用PEditor打开无壳木马程序，把原入口点加1即可。

二、变化入口地址免杀法：

1.用到工具：OllyDbg，PEditor

2.特点：操作也比较容易，而且免杀效果比入口点加1点要佳。

3.操作要点：用OD载入无壳的木马程序，把入口点的前二句移到零区域去执行，然后又跳回到入口点的下面第三句继续执行。最后用PEditor把入口点改成零区域的地址。

三、加花指令法免杀法：

1.用到工具：OllyDbg，PEditor

2.特点：免杀通用性非常好，加了花指令后，就基本达到大量杀毒软件的免杀。

3.操作要点：用OD打开无壳的木马程序，找到零区域，把我们准备好的花指令填进去填好后又跳回到入口点，保存好后，再用PEditor把入口点改成零区域处填入花指令的着地址，

四、加壳或加伪装壳免杀法：

1.用到工具：一些冷门壳，或加伪装壳的工具，比如木马彩衣等。

2.特点：操作简单化，但免杀的时间不长，可能很快被杀，也很难躲过卡巴的追杀。

3.操作要点：为了达到更好的免杀效果可采用多重加壳，或加了壳后在加伪装壳的免杀效果更佳。五、打乱壳的头文件或壳中加花免杀法：

1.用到工具：秘密行动，UPX加壳工具。

2.特点：操作也是傻瓜化，免杀效果也正当不错，特别对卡巴的免杀效果非常好。

3.操作要点：首先一定要把没加过壳的木马程序用UPX加层壳，然后用秘密行动这款工具中的SCramble功能进行把UPX壳的头文件打乱，从而达到免杀效果。

六、修改文件特征码免杀法：

1.用到工具：特征码定位器，OllyDbg

2.特点：操作较复杂，要定位修改一系列过程，而且只针对每种杀毒软件的免杀，要达到多种杀毒软件的免杀，必需修改各种杀毒软件的特征码。但免杀效果好。

3.操作要点：对某种杀毒软件的特征码的定位到修改一系列慢长过程。

第四部分：快速定位与修改瑞星内存特征码

一、瑞星内存特征码特点：由于技术原因，目前瑞星的内存特征码在90%以上把字符串作为病毒特征码，这样对我们的定位和修改带来了方便。

二定位与修改要点：

1>.首先用特征码定位器大致定位出瑞星内存特征码位置

2>.然后用UE打开，找到这个大致位置，看看，哪些方面对应的是字符串，用0替换后再用内存查杀进行查杀。直到找到内存特征码后，只要把字符串的大小写互换就能达到内存免杀效果。

第五部分：木马免杀综合方案

修改内存特征码——>1>入口点加1免杀法——> 1>加压缩壳——>1>再加壳或多重加壳

2>变化入口地址免杀法 2>加成僻壳 2>加壳的伪装。

3>加花指令法免杀法 3>打乱壳的头文件

4>修改文件特征码免杀法

注：这个方案可以任意组合各种不同的免杀方案。并达到各种不同的免杀效果。

第六部分：免杀方案实例演示部分

1.完全免杀方案一：

内存特征码修改 + 加UPX壳 + 秘密行动工具打乱UPX壳的头文件。

篇2：修改特征码的5个基本方法

5招教你修改特征码：

方法一:直接修改特征码的十六进制法

1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.

2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下能否正常使用.

方法二:修改字符串大小写法

1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.

2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.

方法三:等价替换法

1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.

2.适用范围:特征码中必需有可以替换的汇编指令.比如JN,JNE 换成JMP等.

方法四:指令顺序调换法

1.修改方法:把具有特征码的代码顺序互换一下.

2.适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行

方法五:通用跳转法

1.修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.

2.适用范围:没有什么条件,是通用的改法

篇3：特征码扫描是什么

特征码扫描是传统杀毒软件的主要利器，用来区分一个文件是否是病毒，与此相对的技术是主动防御。

特征码扫描主要是提取病毒文件的特征，注意：这并不一定是病毒所独有的，所以有的时候杀毒软件会误报，

提取特征码的过程往往是自动的，少数时候需要反病毒专家人工干预。

如何区分一个杀软是否使用了特征码扫描技术?一般来说，凡是有扫描技术的杀毒软件99%是特征码匹配。

篇4：特征码前缀

随着网络技术和信息技术的飞速发展，网络已经成为人们获取信息的一个重要途径。现有的搜索引擎面临的最大一个问题就是返回的结果集中包含大量重复的信息。如何更有效地帮助用户获取所需要的信息，能够快速、准确地为用户提供信息，是网络信息服务面临的新课题。优化搜索结果可以采用多种手段，如通过提取网页的特征进行基于内容的`信息检索，利用用户反馈的信息进一步精确检索结果，将结果集中的重复信息尽可能地消除等。

由于网络信息分布的特点，网站上的信息存在相互及镜像站点等情况。出现相同网页主要有以下几种情形：网页的URL完全相同；网页的URL形式不同，但网站域名所对应的IP是相同的；URL虽然不同，但网页内容完全相同；URL不同，为不同的网页形式，但网页上主要内容是相同的。本文主要讨论对于网页内容重复性的消除。

篇5：DLL释放型后门的特征码修改

修改特征码打造免杀后门之灰鸽子篇

――DLL释放型后门的特征码修改

各位兄弟年过得还好吧？！上期给大家提供的免杀后门好用吗？这一期讲什么呢？嘿嘿，这次来个难度大一点儿的：灰鸽子的特征码修改，什么是灰鸽子就不用我说了吧？先打个预防针：这次修改过程可不像WinShell那么简单！不过学会修改鸽子话，大多数流行的DLL释放式的后门就全是小CASE了。废话不说，直接进入正题。

修改过程概述

灰鸽子是一款非常不错的远程控制软件，使用者也很多，因此是各大杀软的必杀对象。较新的鸽子主要功能代码用DLL实现，这增加了程序的隐蔽性，但同时也加大了修改特征码的难度。对于全部功能由一个EXE文件完成的程序，比如鸽子的老版本和WinShell之类，只需要修改EXE本身既可；而对于运行时会释放DLL文件的版本，不但EXE文件本身有特征码（通常在代码段中），而且DLL中也含有大量特征码。因此，修改的大致过程为：导出DLL，修改DLL，DLL导入EXE，修改EXE。下面以灰鸽子1.05版未加壳服务端，卡巴斯基的特征码为例，详细地讲解修改过程。喝口水，准备过草地了。

DLL文件的导出

拿到服务端文件，老规矩，先检测，卡巴报警发现Backdoor.Win32.Feutel.a。下面导出服务端包含的DLL，灰鸽子官方教程里用的是ResHacker，而我更偏向于使用PE Explorer。打开服务端文件，点击工具栏里的“Resource Viewer/Editor”，会显示资源的树状结构，其中RCDataMAINDLL就是我们需要导出的文件，如图1所示。

可以看到PE Explorer已经自动判断出该资源是一个PE文件。在MAINDLL的图标上单击右键，选择“save resources as”，就可以将MAINDLL资源导出。下面做什么？开始修改吗？别急，MAINDLL中还有两个DLL需要导出。再打开刚导出的资源，可以得到另外两个DLL，名字倒是很直接，一个叫HOOK，一个叫GETKEY，如图2所示。

分别导出这两个DLL，用卡巴斯基检测一下，报警发现了Backdoor.Win32.Feutel.a和Trojan-PSW.Win32.KeyLogger.c。到这里，基本思路就应该确定了，先修改HOOK和GETKEY两个DLL，然后将其导入MAINDLL，再修改MAINDLL的代码段中含有的特征码，完毕后将其导入原服务端EXE文件，最后修改EXE文件的代码段中含有的特征码！可不要打退堂鼓，让我们一步步来。

修改HOOK

这是我们第一次修改DLL，但DLL文件的格式和普通的EXE文件其实没有差别，都是标准的PE文件，如果你看了前两期关于特征码定位器使用的文章的话，操作上应该没有什么问题。我们的思路仍旧是：手动定位确定特征码大体范围，自动定位确定精确的位置。

打开CCL，设置成手动，生成300个文件，然后打开HOOK，不选择任何段，对整个文件进行替换，等程序提示全部文件生成完毕后，用卡巴斯基对目标文件夹检测，并将报警的文件删除，最终结果如下：

-------------定位结果------------

序号起始偏移大小结束偏移

0001 00000000 000002B8 000002B8

0002 000140D0 000002B8 00014388

0003 0001479C 0000015C 000148F8

下面将CCL设置为自动检测，间隔时间为7秒，在输入检测段时将0002和0003的数据添加到待检测栏里，如图3所示。

如果你细心的话会发现这两个偏移其实都在CODE段中，这正说明大多数特征码的位置都存在于代码段里。单击确定，进行自动检测，过程就不说了，详细的操作动画过去的黑防都已提供，最终得到如下定位结果：

-------------定位结果------------

序号起始偏移大小结束偏移

0001 00014193 00000015 000141A8

0002 000141A9 0000002A 000141D3

0003 000141D5 0000002A 000141FF

0004 00014200 0000002A 0001422A

0005 0001422C 0000002A 00014256

0006 00014257 0000002A 00014281

0007 00014283 00000015 00014298

0008 0001479C 00000015 000147B1

还真不少，共有8处。修改哪里呢？我的经验是：尽量修改代码，避免修改字符串和数据，因为修改后者必须将每一处调用它的指令都做改动，且在不确定具体含义的情况下很容易出错，不推荐。

先看第一处，用IDA对HOOK进行反汇编，然后找到00014193处，也就是内存偏移00414D93（这里可以用我写的小工具：偏移量转换器，输入文件偏移可以自动计算出内存偏移），这里的代码如下：

CODE:00414D91 dd offset off_413FB0

CODE:00414D95 dd 64616D0Bh, 65646F43h, 6B6F6F48h

CODE:00414DA1 align 4

很显然，这是一些数据，我们甚至不知道它的意义，要修改真是无从下手。于是看第2处，代码如下：

……

CODE:00414DAD xor edx, edx

CODE:00414DAF mov [ebp+var_18], edx

CODE:00414DB2 mov [ebp+var_8], edx

CODE:00414DB5 mov ebx, eax

CODE:00414DB7 xor eax, eax

CODE:00414DB9 push ebp

CODE:00414DBA push offset loc_414F97

CODE:00414DBF push dword ptr fs:[eax]

CODE:00414DC2 mov fs:[eax], esp

CODE:00414DC5 xor eax, eax

CODE:00414DC7 push ebp

……

看来第二处全部是汇编指令，就修改它了，

用什么方法呢？前两期我介绍过“指令顺序变换”和“万能跳转”两种方法，当然，能用第一种时尽量用，这里我们也采用变换指令顺序的方法。注意加黑的指令，我们就改变这两句的顺序。修改文件我还是习惯用OllyDbg，因为可以直接进行指令级的操作，你也可以用二进制编辑软件。

用OD打开HOOK，OD会提示“打开的是DLL，是否用Loaddll进行加载”，点确定，然后来到003E4DA7处。这里又有问题了，为什么刚才用IDA打开时，位置在00414DA7而现在却变成003E4DA7呢？这是因为DLL加载时，加载基址是可变的。给大家讲一个在OD中判断加载基址的方法。单击OD工具栏中的M，会显示出当前进程内存中的所有模块，如图4所示。

根据名称找到加载我们的DLL的位置，图中可以看到00400000已经被LOADDLL给占据了，因此HOOK只能被发配到003D0000了，相应的，在IDA中的地址需要减去一个差值（00400000-003D0000）才能得到OllyDbg中的地址。

将黑体的指令进行顺序调换，修改如下：

003E4DB7 55 push ebp

003E4DB8 33C0 xor eax,eax

然后保存修改，再用卡巴斯基来检测一下修改后的HOOK文件，果然，HOOK已经免杀了，是不是很神奇，仅仅修改了三个字节就搞定了！

修改GETKEY

下面该第二个DLL了，过程和修改HOOK的一样，就不详述了，简述一下过程：手动定位的结果如下（生成300个文件）：

-------------定位结果------------

序号起始偏移大小结束偏移

0001 00000000 000002BC 000002BC

0002 000095B5 0000015E 00009713

0003 00009DE9 000000AF 00009E98

然后对95B5和9DE9两个段进行自动定位，最终结果如下：

-------------定位结果------------

序号起始偏移大小结束偏移

0001 00009621 00000015 00009636

0002 00009637 0000002A 00009661

0003 00009664 0000002A 0000968E

0004 0000968F 0000002A 000096B9

0005 000096BB 0000002A 000096E5

0006 000096E6 0000002A 00009710

0007 00009E40 0000002A 00009E6A

共有7处，还挺多的。原理一样，尽量修改汇编指令，避免字符串和数据。这一次运气不错，第0001段就是汇编指令：

003DA221 . 68 34A63D00 push RC_Data_.003DA634 ; ASCII “ <”

003DA226 . 8D95 ECFEFFFF lea edx,dword pt

[1] [2] 下一页

篇6：灰鸽子篇之DLL释放型后门的特征码修改

灰鸽子是一款非常不错的远程控制软件，使用者也很多，因此是各大杀软的必杀对象，较新的鸽子主要功能代码用DLL实现，这增加了程序的隐蔽性，但同时也加大了修改特征码的难度。对于全部功能由一个EXE文件完成的程序，比如鸽子的老版本和WinShell之类，只需要修改EXE本身既可；而对于运行时会释放DLL文件的版本，不但EXE文件本身有特征码（通常在代码段中），而且DLL中也含有大量特征码。因此，修改的大致过程为：导出DLL，修改DLL，DLL导入EXE，修改EXE。下面以灰鸽子1.05版未加壳服务端，卡巴斯基的特征码为例，详细地讲解修改过程。喝口水，准备过草地了。

DLL文件的导出

修改HOOK

-------------定位结果------------

序号起始偏移大小结束偏移

0001 00000000 000002B8 000002B8

0002 000140D0 000002B8 00014388

0003 0001479C 0000015C 000148F8

下面将CCL设置为自动检测，间隔时间为7秒，在输入检测段时将0002和0003的数据添加到待检测栏里．

-------------定位结果------------

序号起始偏移大小结束偏移

0001 00014193 00000015 000141A8

0002 000141A9 0000002A 000141D3

0003 000141D5 0000002A 000141FF

0004 00014200 0000002A 0001422A

0005 0001422C 0000002A 00014256

0006 00014257 0000002A 00014281

0007 00014283 00000015 00014298

0008 0001479C 00000015 000147B1

CODE:00414D91 dd offset off_413FB0

CODE:00414D95 dd 64616D0Bh, 65646F43h, 6B6F6F48h

CODE:00414DA1 align 4

很显然，这是一些数据，我们甚至不知道它的意义，要修改真是无从下手。于是看第2处，代码如下：

……

CODE:00414DAD xor edx, edx

CODE:00414DAF mov [ebp+var_18], edx

CODE:00414DB2 mov [ebp+var_8], edx

CODE:00414DB5 mov ebx, eax

CODE:00414DB7 xor eax, eax

CODE:00414DB9 push ebp

CODE:00414DBA push offset loc_414F97

CODE:00414DBF push dword ptr fs:[eax]

CODE:00414DC2 mov fs:[eax], esp

CODE:00414DC5 xor eax, eax

CODE:00414DC7 push ebp

……

看来第二处全部是汇编指令，就修改它了，

将黑体的指令进行顺序调换，修改如下：

003E4DB7 55 push ebp

003E4DB8 33C0 xor eax,eax

然后保存修改，再用卡巴斯基来检测一下修改后的HOOK文件，果然，HOOK已经免杀了，是不是很神奇，仅仅修改了三个字节就搞定了！

修改GETKEY

下面该第二个DLL了，过程和修改HOOK的一样，就不详述了，简述一下过程：手动定位的结果如下（生成300个文件）：

-------------定位结果------------

序号起始偏移大小结束偏移

0001 00000000 000002BC 000002BC

0002 000095B5 0000015E 00009713

0003 00009DE9 000000AF 00009E98

然后对95B5和9DE9两个段进行自动定位，最终结果如下：

-------------定位结果------------

序号起始偏移大小结束偏移

0001 00009621 00000015 00009636

0002 00009637 0000002A 00009661

0003 00009664 0000002A 0000968E

0004 0000968F 0000002A 000096B9

0005 000096BB 0000002A 000096E5

0006 000096E6 0000002A 00009710

0007 00009E40 0000002A 00009E6A

共有7处，还挺多的。原理一样，尽量修改汇编指令，避免字符串和数据。这一次运气不错，第0001段就是汇编指令：

003DA221 . 68 34A63D00 push RC_Data_.003DA634 ; ASCII “ <”

003DA226 . 8D95 ECFEFFFF lea edx,dword ptr ss:[ebp-114]

003DA22C . 8B45 F8 mov eax,dword ptr ss:[ebp-8]

003DA22F . E8 68FEFFFF call RC_Data_.003DA09C

相信修改这几句指令已经难不倒你了，将前三句的顺序调换一下：

003DA221 68 34A63D00 push RC_Data_.003DA634 ; ASCII “ <”

003DA226 &

．．．．．．．．．．．．．．．．．．．．．．．．．．．．

篇7：中国建筑的特征说课稿修改

各位评委、老师：大家好！我今天说课的题目是《中国建筑的特征》。我将从说教材、说教学设想、说教法、说学法、说教学过程、说板书一一解说。

一、说教材

《中国建筑的特征》是人教高中语文必修5第四单元的第一课，本单元主要学习自然科学小论文，属于实用类文本。

本文的作者梁思成先生是学贯中西的建筑家，认真品读课文，不仅能收获有关中国建筑学的科学知识，而且能从作者严谨的表述中，感受到作者心中涌动的强烈的民族情怀和高雅独特的审美境界。

二、说教学设想

1、学情分析：本文的教学对象是高二的学生，已经学过一定的自然科学小论文。因此，学生对这种科学小论文已经有一定的了解，知道其论述的严谨性，和语言的简介性。但对于文中提出的诸如“文法”、“可译性”等新概念，对其的准确理解还需要引导。

2、教学目标

知识教育目标：①理清文章思路，明确中国国建筑的特征。

②根据分层，归纳概括“文法”“可译性”等重点词句的含义。

能力培养目标：①学习本文科普文章的语言特色，并指导学生在说明文或

议论文写作中有意识地学习和借鉴。② 通过对课文的一些主要内容和观点展开讨论，提高学生探究问题的能力。

情感培养目标：通过学习，提高对我国建筑艺术的审美能力。激发学生

对我国古代悠久的建筑艺术的热爱之情。

3、重难点：

教学重点：把握文章整体结构，理清思路，掌握中国建筑的九大特征以及

中国建筑的“文法”。

教学难点：一、对建筑术语如“所”“斗拱”“举架”的理解。

二、对作者提出的新概念“文法”“词汇”以及“可译性”的

理解。

三、说教、学方法

（一）教法：学习说明文，主要让学生了解文章所讲述的内容，学习说明文简洁明了的语言，并把学到的技巧运用于平时的写作中。激发学生的创新意识，培养他们的自主探究能力。为了使本文的教与学达到最佳的效果，本文主要采取以下的教学方法：

1、三读：通过在预习的基础上浏览、精读、研读三步让学生逐渐深入地掌握课文知识。

2、设置情境：在课堂上，利用课件和视频增强直观性，让学生更真切地

了解说明对象。

3、问题讨论：引导学生自主学习、合作探究，共同分享合作的乐趣，感受成功的喜悦。

4、课外探究：引导学生发现和寻找现实生活中的建筑，比较他们与中国传统建筑的特点。

（二）学法：

精读研究法：学生通过仔细阅读揣摩课文，深化对中国建筑的特征的认识。对比学习法：把中国的传统建筑与西方的.建筑进行比较，让学生更深刻地了解中国建筑的特征。

（三）教学手段

多媒体课件、视频。一段介绍中国古代建筑特征的视频，增强学生的感性认识。

四、说教学过程

（一）课堂教学

1、导入：

利用视频《中国古代建筑的瑰宝――唐代木亭模型》来引入全文，并且让学生更加鲜明地感知“斗拱”这一概念，以及明确中国建筑的发展脉络以及现代的传承。

利用幻灯片展示各种建筑导入本文，揭示课题，并交代文体，而且简要地介绍作者。这样做有利于增强学生和直观感受，对学习说明文有极大的好处。主要目的是让学生一开始就认识到学习本文与过去学习记叙性文字有了区别，明确学习目标，初步了解本文的说明对象。

2、速读课文，整体感知

让学生快速浏览课文，归纳全文思路。速读之前，老师予以指导：这其实就是给文章分段，然后总结段意。这个问题难度不大，大部分学生能快速、独立解决。

3、精读课文，思考探究

我们了解了本文的行文思路，但是“中国建筑的具体特征”却还扑朔迷离。要想解决这个问题，就必须分析每一段的具体

内容。鉴于此，我出了两道思考题，通过问题激发学生思考的欲望。

①请把梁思成先生所总结的中国建筑的9大特征，再从3个角度高度概括一下。并据此，复述中国建筑的特征。

②怎样理解作者提出的“中国建筑的‘文法’”以及各民族建筑之间的“可译性”？

第一组研究第一题，第二组研究第二题，给大家3分钟时间，同桌互助合作完成这项任务。

通过这两道题的设置，可锻炼学生对文本信息筛选和加工能力，不仅让学生明确了中国建筑的特征，加强了文化厚度；而且锻炼学生对使用类文本的归纳概括能力，提高了做题技巧。至此，学习目标基本达成。

4、再读课文，揣摩语言

这篇文章出自科学大师之手，除观点确实、叙说严谨之外，文笔也兼有理趣和情趣。例如本文之中就有许多生动形象的比喻句，请大家找出来，并结合上下文，说说运用比喻说明的表达效果。

5、对比探究：

利用幻灯片展示西方建筑和中国传统建筑，让学生分析它们不同的建筑特点。以此来加深学生对于中国传统建筑的特征的认识，以及中国建筑发展中的兼收并蓄问题。

6、检测目标

本着考察学生对文本内容的准确解读，以及对文本信息的筛选和处理能力的学习目标，制定以下检测题目。

①阅读第8自然段，思考：中国建筑中，斗拱的作用有哪些？

②阅读文章倒数第2自然段，思考：怎样理解作者提出的各民族建筑之间的“可译性”?

7、课外拓展作业：

关注家乡的建筑，可以选择家乡保存完好的传统建筑，也可以选择有代表性的现代建筑，介绍这些建筑的特点。

五、说板书：

多使用多媒体教学，采用图片与文字结构讲解。

篇8：特征检测技术简介

大多数入侵检测系统都是采用特征检测这种技术，它的主要优点有：

1：容易实现基于特征的入侵检测的计算模型比较容易实现，主要的匹配算法也都是成熟算法。因此实现上技术难点比较少。

2：检测精确对入侵特征的精确描述使入侵检测系统可以很容易将入侵辨别出来。同时，因为检测结果有明显的参照，可以帮助系统管理员采取相应的措施来防止入侵。3：升级容易不少基于特征检测的入侵检测系统都提供了自己的规则定义语言，当新的攻击或漏洞出现时，厂商或用户只要根据该攻击或漏洞的特征编写对应的规则，就可以升级系统。

一个简单的特征检测的例子，一个攻击检测实例:

老版本的Sendmail有一个漏洞，telnet到25端口，输入wiz，然后接着输入shell，就能获得一个rootshell，还有输入debug命令，也能获得root权限，进而控制系统。

$ telnet mail.victim.com 25

WIZ

shell

或者

DEBUG

直接获得rootshell！

我们可以在入侵检测系统里设置：

1：简单的匹配：入侵检测系统检查每个packet是否包含：

WIZ

| DEBUG

2：或只检查25端口号的数据包里是否含有WIZ或DEBUG，这样一来能有效缩小匹配范围，

Port 25:{

WIZ

| DEBUG

}

3：再进一步缩小匹配范围,只判断客户端发送过来的数据包部分

Port 25:{

Client-sends: WIZ |

Client-sends: DEBUG

}

有效缩小匹配范围，能减少入侵检测系统的负担，提高报警的准确性入侵检测系统根据规则库里的已定义的规则，一旦在数据包里发现含有WIZ或DEBUG，就会：响应策略弹出窗口报警E-mail通知切断TCP连接执行自定义程序与其他安全产品交互如防火墙，让防火墙作出响应。

从上面的例子我们既可以了解到特征检测的过程，也可以发现这种特征检测技术的缺点：

1：检测能力很大程度上依赖于规则库的广度与精度，因此规则库的维护工作量较大。

2：对变体攻击适应性比较差由于入侵特征的确定性，当入侵者改动部分特征，入侵检测系统就可能视而不见。

3：规则冗余有时候同一种特征可能采用多种方式表达，为了检测所有这些方式，必须分别提供规则来描述入侵。如上面的例子，一个漏洞，要定义两条规则，检测WIZ和DEBUG.

篇9：Docker 介绍: 相关技术

本文在现有文档的基础上总结了以下几点内容

docker的介绍，包括由来、适用场景等

docker背后的一系列技术 - namespace, cgroup, lxc, aufs等

docker在利用LXC的同时提供了哪些创新

笔者对docker这种container, PaaS的一些理解

docker存在的问题和现有的解决思路

篇10：Docker 介绍: 相关技术

Docker is an open-source engine that automates the deployment of any application as a lightweight, portable, self-sufficient container that will run virtually anywhere.

Docker 是 PaaS 提供商 dotCloud 开源的一个基于 LXC 的高级容器引擎，源代码托管在 Github 上, 基于go语言并遵从Apache2.0协议开源， Docker近期非常火热，无论是从 github 上的代码活跃度，还是Redhat在RHEL6.5中集成对Docker的支持, 就连 Google 家的 Compute Engine 也支持 docker 在其之上运行, 最近百度也用 Docker 作为其PaaS的基础(不知道规模多大)。

一款开源软件能否在商业上成功，很大程度上依赖三件事 - 成功的 user case, 活跃的社区和一个好故事。 dotCloud 自家的 PaaS 产品建立在docker之上，长期维护且有大量的用户，社区也十分活跃，接下来我们看看docker的故事。

环境管理复杂 - 从各种OS到各种中间件到各种app, 一款产品能够成功作为开发者需要关心的东西太多，且难于管理，这个问题几乎在所有现代IT相关行业都需要面对

云计算时代的到来 - AWS的成功, 引导开发者将应用转移到 cloud 上, 解决了硬件管理的问题，然而中间件相关的问题依然存在 (所以openstack HEAT和 AWS cloudformation 都着力解决这个问题)。开发者思路变化提供了可能性。

虚拟化手段的变化 - cloud 时代采用标配硬件来降低成本，采用虚拟化手段来满足用户按需使用的需求以及保证可用性和隔离性。然而无论是KVM还是Xen在 docker 看来, 都在浪费资源，因为用户需要的是高效运行环境而非OS, GuestOS既浪费资源又难于管理, 更加轻量级的LXC更加灵活和快速

LXC的移动性 - LXC在 linux 2.6 的 kernel 里就已经存在了，但是其设计之初并非为云计算考虑的，缺少标准化的描述手段和容器的可迁移性，决定其构建出的环境难于迁移和标准化管理(相对于KVM之类image和snapshot的概念)。docker 就在这个问题上做出实质性的革新。这正式笔者第一次听说docker时觉得最独特的地方。

面对上述几个问题，docker设想是交付运行环境如同海运，OS如同一个货轮，每一个在OS基础上的软件都如同一个集装箱，用户可以通过标准化手段自由组装运行环境，同时集装箱的内容可以由用户自定义，也可以由专业人员制造。这样，交付一个软件，就是一系列标准化组件的集合的交付，如同乐高积木，用户只需要选择合适的积木组合，并且在最顶端署上自己的名字(最后个标准化组件是用户的app)。这也就是基于docker的PaaS产品的原型。

What Docker Can Do

在docker的网站上提到了docker的典型场景:

Automating the packaging and deployment of applications

Creation of lightweight, private PAAS environments

Automated testing and continuous integration/deployment

Deploying and scaling web apps, databases and backend services

由于其基于LXC的轻量级虚拟化的特点，docker相比KVM之类最明显的特点就是启动快，资源占用小。因此对于构建隔离的标准化的运行环境，轻量级的PaaS(如dokku), 构建自动化测试和持续集成环境，以及一切可以横向扩展的应用(尤其是需要快速启停来应对峰谷的web应用)。

构建标准化的运行环境，现有的方案大多是在一个base OS上运行一套puppet/chef，或者一个image文件，其缺点是前者需要base OS许多前提条件，后者几乎不可以修改(因为copy on write 的文件格式在运行时rootfs是read only的)。并且后者文件体积大，环境管理和版本控制本身也是一个问题。

PaaS环境是不言而喻的，其设计之初和dotcloud的案例都是将其作为PaaS产品的环境基础

因为其标准化构建方法(buildfile)和良好的REST API，自动测试和持续集成/部署能够很好的集成进来

因为LXC轻量级的特点，其启动快，而且docker能够只加载每个container变化的部分，这样资源占用小，能够在单机环境下与KVM之类的虚拟化方案相比能够更加快速和占用更少资源

What Docker CanNOTDo

Docker并不是全能的，设计之初也不是KVM之类虚拟化手段的替代品，个人简单总结了几点

Docker是基于Linux 64bit的，无法在windows/unix或32bit的linux环境下使用(虽然64-bit现在很普及了)

LXC是基于cgroup等linux kernel功能的，因此container的guest系统只能是linux base的

隔离性相比KVM之类的虚拟化方案还是有些欠缺，所有container公用一部分的运行库

网络管理相对简单，主要是基于namespace隔离

cgroup的cpu和cpuset提供的cpu功能相比KVM的等虚拟化方案相比难以度量(所以dotcloud主要是安内存收费)

docker对disk的管理比较有限

container随着用户进程的停止而销毁，container中的log等用户数据不便收集

针对1-2，有windows base应用的需求的基本可以pass了; 3-5主要是看用户的需求，到底是需要一个container还是一个VM, 同时也决定了docker作为 IaaS 不太可行。针对6,7虽然是docker本身不支持的功能，但是可以通过其他手段解决(disk quota,mount --bind)。总之，选用container还是vm, 就是在隔离性和资源复用性上做tradeoff

另外即便docker 0.7能够支持非AUFS的文件系统，但是由于其功能还不稳定，商业应用或许会存在问题，而AUFS的稳定版需要kernel 3.8, 所以如果想复制dotcloud的成功案例，可能需要考虑升级kernel或者换用ubuntu的server版本(后者提供deb更新)。我想这也是为什么开源界更倾向于支持ubuntu的原因(kernel版本)

Docker Usage

由于篇幅所限，这里就不再展开翻译，可参见链接 - docs.docker.io/en/latest/use/

Docker Build File

由于篇幅所限，这里就不再展开翻译，可参见链接 - docs.docker.io/en/latest/use/builder/

篇11：Docker 介绍: 相关技术

看似docker主要的OS级虚拟化操作是借助LXC, AUFS只是锦上添花。那么肯定会有人好奇docker到底比LXC多了些什么。无意中发现 stackoverflow 上正好有人问这个问题，回答者是Dotcloud的创始人，出于备忘目的原文摘录如下。

stackoverflow.com/questions/17989306/what-does-docker-add-to-just-plain-lxc

On top of this low-level foundation of kernel features, Docker offers a high-level tool with several powerful functionalities:

Portable deployment across machines. Docker defines a format for bundling an application and all its dependencies into a single object which can be transferred to any docker-enabled machine, and executed there with the guarantee that the execution environment exposed to the application will be the same. Lxc implements process sandboxing, which is an important pre-requisite for portable deployment, but that alone is not enough for portable deployment. If you sent me a copy of your application installed in a custom lxc configuration, it would almost certainly not run on my machine the way it does on yours, because it is tied to your machine's specific configuration: networking, storage, logging, distro, etc. Docker defines an abstraction for these machine-specific settings, so that the exact same docker container can run - unchanged - on many different machines, with many different configurations.

Application-centric. Docker is optimized for the deployment of applications, as opposed to machines. This is reflected in its API, user interface, design philosophy and documentation. By contrast, the lxc helper scripts focus on containers as lightweight machines - basically servers that boot faster and need less ram. We think there's more to containers than just that.

Automatic build. Docker includes a tool for developers to automatically assemble a container from their source code, with full control over application dependencies, build tools, packaging etc. They are free to use make, maven, chef, puppet, salt, debian packages, rpms, source tarballs, or any combination of the above, regardless of the configuration of the machines.

Versioning. Docker includes git-like capabilities for tracking successive versions of a container, inspecting the diff between versions, committing new versions, rolling back etc. The history also includes how a container was assembled and by whom, so you get full traceability from the production server all the way back to the upstream developer. Docker also implements incremental uploads and downloads, similar to “git pull”, so new versions of a container can be transferred by only sending diffs.

Component re-use. Any container can be used as an “base image” to create more specialized components. This can be done manually or as part of an automated build. For example you can prepare the ideal python environment, and use it as a base for 10 different applications. Your ideal postgresql setup can be re-used for all your future projects. And so on.

Sharing. Docker has access to a public registry (index.docker.io) where thousands of people have uploaded useful containers: anything from redis, couchdb, postgres to irc bouncers to rails app servers to hadoop to base images for various distros. The registry also includes an official “standard library” of useful containers maintained by the docker team. The registry itself is open-source, so anyone can deploy their own registry to store and transfer private containers, for internal server deployments for example.

Tool ecosystem. Docker defines an API for automating and customizing the creation and deployment of containers. There are a huge number of tools integrating with docker to extend its capabilities. PaaS-like deployment (Dokku, Deis, Flynn), multi-node orchestration (maestro, salt, mesos, openstack nova), management dashboards (docker-ui, openstack horizon, shipyard), configuration management (chef, puppet), continuous integration (jenkins, strider, travis), etc. Docker is rapidly establishing itself as the standard for container-based tooling.

篇12：Docker 介绍: 相关技术

有了docker这么个强有力的工具，更多的玩家希望了解围绕docker能做什么

Sandbox

作为sandbox大概是container的最基本想法了 - 轻量级的隔离机制, 快速重建和销毁, 占用资源少。用docker在开发者的单机环境下模拟分布式软件部署和调试，可谓又快又好。同时docker提供的版本控制和image机制以及远程image管理，可以构建类似git的分布式开发环境。可以看到用于构建多平台image的packer以及同一作者的vagrant已经在这方面有所尝试了，笔者会后续的blog中介绍这两款来自同一geek的精致小巧的工具。

PaaS

dotcloud、heroku以及cloudfoundry都试图通过container来隔离提供给用户的runtime和service，只不过dotcloud采用docker, heroku采用LXC, cloudfoundry采用自己开发的基于cgroup的warden。基于轻量级的隔离机制提供给用户PaaS服务是比较常见的做法 - PaaS 提供给用户的并不是OS而是runtime+service, 因此OS级别的隔离机制向用户屏蔽的细节已经足够。而docker的很多分析文章提到『能够运行任何应用的“PaaS”云』只是从image的角度说明docker可以从通过构建image实现用户app的打包以及标准服务service image的复用, 而非常见的buildpack的方式。

由于对Cloud Foundry和docker的了解, 接下来谈谈笔者对PaaS的认识。PaaS号称的platform一直以来都被当做一组多语言的runtime和一组常用的middleware，提供这两样东西即可被认为是一个满足需求的PaaS。然而PaaS对能部署在其上的应用要求很高:

运行环境要简单 - buildpack虽然用于解决类似问题，但仍然不是很理想

要尽可能的使用service - 常用的mysql, apache倒能理解，但是类似log之类的如果也要用service就让用户接入PaaS平台, 让用户难以维护

要尽可能的使用“平台” - 单机环境构建出目标PaaS上运行的实际环境比较困难，开发测试工作都离不开“平台”

缺少可定制性 - 可选的中间件有限，难于调优和debug。

综上所述部署在PaaS上的应用几乎不具有从老平台迁移到之上的可能，新应用也难以进入参数调优这种深入的工作。个人理解还是适合快速原型的展现，和短期应用的尝试。

然而docker确实从另一个角度(类似IaaS+orchestration tools)实现了用户运行环境的控制和管理，然而又基于轻量级的LXC机制，确实是一个了不起的尝试。笔者也认为IaaS + 灵活的orchestration tools(深入到app层面的管理如bosh)是交付用户环境最好的方式。

【简单介绍特征码修改技术】相关文章：