【3.A.S.T】网络安全爱好者 » 原创专区 » 木马免杀之免杀输入表篇

1335csy 发表于 2009-3-31 11:30

木马免杀之免杀输入表篇

最近和一位木马免杀牛人交流，感觉新增进不少，/Z0T;I!T
i1^ L(|+t
"V"Ox7tAe%~GD
特拿来分享给大家。
"\F'q*N#vZ8j Z
"@K'Nlj? 今天我们不提我们国产的那些杀软，真的垃圾的要死，
%ax5ae`EFC
3O-Q{ Q D(ZB 上次有位朋友叫我帮忙做上兴免杀过瑞星，说内存特征码定位在输入表
&sdp_^:WUN R VQ#E F}T1n
我简单的重建了输入表就把瑞星搞定了，8K nu.F@~Z

`#Vh(j/?U 失去信心了。我曰
FK;Bm$C V EX C2q[Ec9gI
今天我们说的是免杀输入表，以下是我的经验，也有牛人传授的免杀方法。
1NPl}G
GI(x m ([\uc;cC${ g+?
首先，大家要知道一点，国产的都没有高启发式扫描，瑞星，金山等都没有。WPl@f}3w
*er/G:P4flDV.p
外国的，如nod32，卡巴，小红伞都有启发式扫描，尤其以卡巴的高启发式和他的2009主动防御难过。 p0HanX

&Q5{eEN.~;r(z 高启发式扫描必然导致特殊的特征码，我建议新手朋友做卡巴等免杀的时候，先把启发式调到最低
FN\ ^8P7{Q [Sj-A~O\
过了以后再调到最高，再做免杀。'{3m c-u$i:uv

FV4Ki?R 以上是废话，t\2J,| ]cqT

+g.Q^Z@A#P5Zu 好了，下面我们来说下常见的免杀输入表方法。(` KP"HU#d*S
!M Iivj D1PA
一。移位法t!\W-h
_ iA
0k;o$K G^|*H4u6g
这个已经过时了，我们的国产杀软及时的跟上了时代，
j4P9o#|iG*Az7z
2|5e
D#g3g 移位法在去年过金山和瑞星，还有江民都是可以过的，V;~;y8U$P&} D2CvI&]2y
kILsESDl
现在的杀软智能化了，移位么？呵呵 ，追杀你。/p jU`[m/wh
&Yc4l;UJ&EB
如果你想了解怎么个移位法，去百度搜吧，大堆的老教程等你看。K%u:hNojE3Q

bN+X5L
` 二，重建输入表
4sUi%E4j~lu%ku
!v8y6v0bbzn8^ 效果不错，这里说下，简单的重建输入表，还是可以过我们的国产杀软的，外国的就不行啦。哈哈
6V3k
pq o
7Lq4S*mA"BQ 这里我介绍下，#V IQ5S&a/x(F
Ag` [-^(j5Y(w
用到工具：
M&\v:}%@S importrec1.6
x4j}B8B(ko ?m od
2h2S!W*g]Lg u c32asmL hm6_bP
loaderpe2h-[;E%{s:K
这里我们简单的介绍下，如何重建输入表
*e%|-E[a O;P"{dqJ$C
E$_+G9jdZ*qO'Y 首先吧文件拖入od，打开inportrec1.6'R(GE#w,A#J;g
(~?bM,U&Y%J [
如图 选择拖入od的程序，
:uAYG }&y/~b [img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311047179550_30322.jpg[/img]
n5eWR@-Sh+_8R
#Q-|` XUl2Y 这个时候，我们打开loaderpe，
6f{6{dB @
8b k
hq:P#TM@
T 拖入我们的木马+q*H }Ic8T:}
v#rIr
IJ2?4Ix3kd-m T]
选择目录，
4L\(F*z#Pqr;I1o
M6x D`+]7{ 我们看到导入表这里。。。
Vw"} [1E3E)A/`N:Le `*Bou7s;\In4y!R(A
如图：,E;|HbU's{/M
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311050246640_30322.jpg[/img]
n,x kH)pH&F 1vo}2F/h'w
RVA地址是0001D000  大小是0000154C8N8OH!^5HHL6\^

t%\.a|T}CU
好的，我们把这两个输入到import1.6里去Epg)vp RuT-g
6H#GtiuD;`-?6y7s
就是在“加载树文件”那上面一点 0E(E.Q!{ D*N0v&h

p1dz\(| x#V 输入RVA的地址和大小。xY RW*k

B6xs9Qc LmE6F 点击“获得输入表”
2QQ6@xl
V%s2t@8J M n.|y-{VD2A1f5J7[
然后点击“显示无效的”
D x,B Ky.}\n
&G6UR Gty3v 接着importrec会自动列出
J"EBovPy!Q$}
iQk`9z6Z;g5g0T 我们把深蓝色的字体  右键   剪切无效的指针
#IU6B/u n"x $?'@2z+rNR9FE

%Z P/u lZ5w5me 最后，我们点“修理dump”!da!i ca"P%D@F

Y1a4d9ccA8JU,mN:K 选中我们的木马就可以了
,s&v\[p
5B9AEFZa5@w@&g 最后我们要用到c32asm
:U i}hw-rVJR
(c*H [9wSi"s7r%x 我们会看到两个输入表，我们只要把原先的输入表全部填充为00就可以了。
D4h0y2p:ly@p
^^{hqH:K1^ 这样做，只能过国产的杀软，外国的 如卡巴就免杀不了（如果他的特征码在输入表的话）
M @~BU.C#TwB 'pS'tD'bF6r
这里，我教大家一个方法，也是重建输入表，可以过卡巴，不过加了个小步骤，1BijJ b;O
;j1e%? Pz7Z,n,{d
我们把马子拖入od的以后，打开了importrec1.6b/?6zFh+?W
{tzd ]ZUR!|
在选项那里，选择根据序数建造输入表和创建新的IAT#ye/duPj.Z c
(C;yzWi| Rn
如图
~ALUvNS)gi [img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311111283643_30322.jpg[/img]
Ot?2o2jIO
V,j F%j4Y/IC6E J[ 以后的步骤照上面的方法继续就可以了RnVK0?c)[)X%Pg

"qftF$}Jv 不过此方法有个弊端就是，如果你在sp3下作的免杀  生成的服务端会在sp2的系统下运行不了;vMg5hXw
v5[)^h&t"V
因为kernel32.dll的大小不一样。8|c/Ul7x;?y ]#qZ g

m_ {t8| K N])d 3.修改originalfirstthunkLZj U1[
l)Y1e*F&LH:{
如图所示!sd"L0RC|M,P\
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311118087031_30322.jpg[/img]
`5B]xy7T
8pW!m XoP6M 我们打开loaderpe，依次点  目录--导入表（后面那个横线）sGo;HK1T5`
?3nl3jo^%\7[bSE
我们可以看到所有的dll，如图，我们假设杀软杀的是wininet.dlll&E-lM?7u}

6\d6E.AZ~ 我们右键--编辑--把函数后两个00修改为FFHRTd N$l

(mhs+]*\z 这样可以过小红伞查杀。  虽然会出现错误提示i[Xjs-BhTH Dn

uv(z4in[wI6DL 但是不影响木马的功能，不影响上线。Gqg%d#oK1N?

OQnA-[
u 4.dll后面加20 90法过卡巴查杀*P4N'SY.t7~

/A$M{?;J*^ 需要的只是一个c32asm而已，非常简单但却非常有效E,E r1t"^r&v

t)pD's8?t5r/I?*X 如图
VO0qe l (TR$sHtJUk.b;I
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311123009041_30322.jpg[/img]
G[Z(k%W|

$f \
r"\ej~0HB 我们可以看到，
g0]5Spq&c
b'Gnr(YM5G;M*{;A 在ntdll.dll后面有一个空格和一个问号   对应的ascII码是20 90
CB ^h(f5XX j ^p@9P A.Fs~Q
这里假设卡巴杀的是ntdll。dll下的函数ZwUnmapViewOfSection*I6OeR:Eo4nr_t
.kk
Q$^\;q b
我们只需要在他的所属dll后面加个20 90就可以了 mHX;n)G)RZ"S({
@:}dQ {1U
卡巴目前还不查杀此免杀方法
m5s6EB Z/oPB !U%uuthGR
'S(SLdV3|
唧唧歪歪这么多，打字有点累了
*FJjciS m~'x
v3Dc?1mk)P
以后有新的免杀的方法我会继续公布的。暂时先写这么多吧。|!I6Qo2U.~7X
~#T

8G)M{[&t [[i] 本帖最后由 1335csy 于 2009-3-31 11:35 编辑 [/i]]

查看完整版本: 木马免杀之免杀输入表篇