[讨论]工程化的免杀方案
[讨论]工程化的免杀方案议题作者:husheng34
信息来源:邪恶八进制信息安全团队([url=http://www.eviloctal.com/]www.eviloctal.com[/url])
说到免杀和杀软之间的关系,就像矛和盾之间的关系,永远不可能有攻不破的 盾 和 守不住 的矛,
但矛有好坏之分,免杀也有高下区别,
有的免杀可以经年累月,有的旦夕湮灭,
究其技术上的原因,排除其它如流传范围,病毒上报等因素,
主要还是免杀方案的复杂度,越复杂的技术,免杀时间越长,
因为杀软工程师需要的调试时间越长,可反过来,做免杀的时间也越长,
所以,如果我们能用效少的时间,换取杀软工程师大量的时间,
那意味着你的软件能活的更久.
//////////////////////////////////////////////////////
如何提高这个比值,我们想想最常用的免杀方案,也许可以找到答案,
自己最省事,杀软最头痛的方法,
很多人会说 "壳",老鸟可能会说变形病毒,可他们都存在一些另人不满意的问题,
针对传统的壳和变形病毒,我们可以抽出他们的部分特点归纳如下:
..................
壳
好处
1:使用简单,方便.
2:通用性强,一个壳可以对应很多种软件.
坏处
1:不能对文件感染软件加壳.
2:自身抗杀软能力不强,因为这不是并不是大多数壳的目的.
..............................
变形病毒
好处
1:可以实现所有种类的黑软,只要你有时间.
2:抗杀软能力很强,设计目的.
坏处
1:编写复杂,调试化时间.
2:大部分变形病毒 藕和性 很高,可谓触一发动全身,很难重复使用以前代码.
基本你化的时间,不见得会比杀软程序少,更本无法提高比值,
不过是化了更多的时间,让杀软化更多时间破解而以.
//////////////////////////////////////////////
我们如果能综合以上两者特点,就能得到最好的结果.
一个能自己变形,并感染文件,的"壳"
针对文件特征码,只需要修改变形引擎,但内存特征没什么好办法[img]http://forum.eviloctal.com/images/smilies/default/cry.gif[/img]
/////////////////////////////////
以下是具体方案:采用分层结构
1:变形解码部份(由变形引擎生成)
解密真实代码
2:PE加载部份.
把第三部的PE文件链,
解压还原,
内存加载,
动态库链接
3:有效的PE文件链
.data
PE1
MZ00012
.........
PE2
MZ000fdf0
.........
PE3
MZ000fdfd
.........
..............
但这种方法,主要好处有:
1:查杀困难,查杀比免杀困难的多(变形病毒特点)
2: 多个软件,只需一次免杀.
3:代码段复用,模块本身可以导出函数供 被加载文件使用,
比如HOOK,隐藏自身等.
4:模块互换方便,传说中的自变形?
缺点也很严重
1:只能加载有 文件重定位 的文件,
如DLL文件,
或编译中添加重定位,
或反汇编引擎 添加重定位表.
2:技术复杂,不能保证所有被加载的文件都能正常工作.
其实一般软件自写壳,免杀就足以,以上方案主要针对要感染文件的软件. 这个话题好啊!
不过有些地方看不懂...阿尔卑斯与八宝糖还有冷苹果
帖子66 精华[url=http://forum.eviloctal.com/digest.php?authorid=149442]0[/url] 积分289 阅读权限100 性别男 在线时间141 小时 注册时间2007-11-21 最后登录2008-7-18 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=149442]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32946&repquote=141935&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32946&pid=141935&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=兼职&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]赚更多的钱[/url]
[url=http://forum.eviloctal.com/space-uid-101763.html]wangyan111[/url] [img]http://forum.eviloctal.com/images/avatars/pw/smile1.jpg[/img]
晶莹剔透§烈日灼然 原来见过 FISHPE大大的牛壳.... 很期待他更新下, 可是....fuck you
帖子8 精华[url=http://forum.eviloctal.com/digest.php?authorid=101763]0[/url] 积分15 阅读权限40 在线时间12 小时 注册时间2007-4-3 最后登录2008-6-19 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=101763]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32946&repquote=141939&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32946&pid=141939&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=风水&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]良辰择日,预测咨询,公司改名,权威易经[/url]
[url=http://forum.eviloctal.com/space-uid-149442.html]洋洋洒洒[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img] 我的想法是把代码变成数据.
问题还是出在没有重定位表上.
貌似反汇编构造重定位表很麻烦很乱
这样 就可以在任意位置执行就无视内存杀毒了吧?阿尔卑斯与八宝糖还有冷苹果
帖子66 精华[url=http://forum.eviloctal.com/digest.php?authorid=149442]0[/url] 积分289 阅读权限100 性别男 在线时间141 小时 注册时间2007-11-21 最后登录2008-7-18 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=149442]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32946&repquote=141963&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32946&pid=141963&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP
[url=http://forum.eviloctal.com/space-uid-46567.html]husheng34[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img] dll全是重定位过的,
exe编译时可以加重定位表,
不是太复杂的exe,用反汇编引擎,因该可以解决,当然会很麻烦,
代码变数据只是最基本的,
代码->数据->随机加密->随机解密(多形病毒)
多形病毒在像壳一样,加载dll或exe,
查杀会比免杀困难的多,免杀时间就会很长.
帖子78 精华[url=http://forum.eviloctal.com/digest.php?authorid=46567]2[/url] 积分3543 阅读权限100 性别男 在线时间112 小时 注册时间2006-4-30 最后登录2008-7-13 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=46567]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32946&repquote=141974&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32946&pid=141974&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=干洗店加盟&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]少女暴富的隐秘(图)[/url]
[url=http://forum.eviloctal.com/space-uid-149442.html]洋洋洒洒[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img] 壳要有通用性,还是应该把exe当作没有重定位表的.毕竟很少的exe在编译时候会加上重定位表
我觉得将代码变成数据,虽说是 最基本的,但是如果把这个"壳"分成两部分的话,代码变数据占一部分(dll不说,exe确实....麻烦啊,当然高手的话可能就不觉得了吧)
第二部分便是loader了.多态变形等等
请问"多形病毒在像壳一样,加载dll或exe'是什么意思?能说明一下吗?阿尔卑斯与八宝糖还有冷苹果
帖子66 精华[url=http://forum.eviloctal.com/digest.php?authorid=149442]0[/url] 积分289 阅读权限100 性别男 在线时间141 小时 注册时间2007-11-21 最后登录2008-7-18 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=149442]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32946&repquote=141981&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32946&pid=141981&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=DHC化妆品&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]让女孩一夜变的更有女人味[/url]
[url=http://forum.eviloctal.com/space-uid-162594.html]linchun[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
晶莹剔透§烈日灼然 特征码时代已经过去了。没有必要去讨论了。
现在都是主动防御。 对于一些公开的软件,尤其是远控的软件。 杀软已经研究透了。所以很难穿透主动防御。
个人感觉后免杀时代应该是 系统函数(如zwsetsysteminformation WinExec) 的问题
比如zwsetsysteminformation 被杀后,就得令换其他函数来加载驱动
帖子2 精华[url=http://forum.eviloctal.com/digest.php?authorid=162594]0[/url] 积分2 阅读权限40 在线时间5 小时 注册时间2008-5-1 最后登录2008-7-6 [url=http://forum.eviloctal.com/space.php?action=viewpro&uid=162594]查看详细资料[/url][url=http://forum.eviloctal.com/post.php?action=reply&fid=9&tid=32946&repquote=142016&extra=page%3D6&page=1]引用[/url] [url=http://forum.eviloctal.com/misc.php?action=report&fid=9&tid=32946&pid=142016&page=1]报告[/url] [url=http://forum.eviloctal.com/###]回复[/url] TOP [url=http://www.google.cn/search?q=DHC化妆品&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]让女孩一夜变的更有女人味[/url]
[url=http://forum.eviloctal.com/space-uid-46567.html]husheng34[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img] 晕倒, 主动防御,还不成熟,
过主动的方法太多了,我也不多说了,
你认为主动强,只能说明你只会网上已经用烂了方法,
稍微动点脑子,过主动就和玩似的.....
现在杀毒还是主要靠特征,
虚拟机,主动,实时防御都还没办法独拦一面,
个人估计,就算以后很长很长时间内,都不能代替特征码.
最后,不要以为知道一点,就说什么时代,什么时代已经过去了,
熊猫已经充分说明,做这个很多情况并不是技术问题....
页:
[1]