【3.A.S.T】网络安全爱好者 » 原创专区 » 木马免杀之免杀输入表篇

1335csy 发表于 2009-3-31 11:30

木马免杀之免杀输入表篇

最近和一位木马免杀牛人交流，感觉新增进不少，
{3W jN2B$E on P+M G3@D0N I~
特拿来分享给大家。9WN7J4Huy8xM0Y.e
E}7cK3jQ;g
今天我们不提我们国产的那些杀软，真的垃圾的要死，
V-P7w5B S;nW
1K$pM/e+Dk3cE 上次有位朋友叫我帮忙做上兴免杀过瑞星，说内存特征码定位在输入表A&y Ci p"oI'B

7BT,TTE7f@ 我简单的重建了输入表就把瑞星搞定了，
P"Q+M#m'@T
AouQ @yd/tLwg[ 失去信心了。我曰
%dd |A od*`K,B
$N{s4`!G"G)B_]Al s 今天我们说的是免杀输入表，以下是我的经验，也有牛人传授的免杀方法。uU
w#k#pl

i\+VHj#P5[ 首先，大家要知道一点，国产的都没有高启发式扫描，瑞星，金山等都没有。
.F j\%? }K
haA"j\K;} 外国的，如nod32，卡巴，小红伞都有启发式扫描，尤其以卡巴的高启发式和他的2009主动防御难过。
PS Xak;d
}N&r JQ 高启发式扫描必然导致特殊的特征码，我建议新手朋友做卡巴等免杀的时候，先把启发式调到最低uX ?PZ"@ mffJ

"z9On#q9y @
L$i1Y 过了以后再调到最高，再做免杀。hqOD"p b SG&z
y-y"Zl@6|'|
以上是废话，
;v:{ AL N/l%s3a5n!A_
*Z i"aSk!_^ 好了，下面我们来说下常见的免杀输入表方法。
~:L%Q:N(q}"I
}`R v1sZ%e;i&E/aG 一。移位法P
o YM)O%_-q+xg

RG)^1Qh:M-y 这个已经过时了，我们的国产杀软及时的跟上了时代，|
d%`*f*|e\Q7m

1["T}$Re|6} ?%BhY 移位法在去年过金山和瑞星，还有江民都是可以过的，_Q+wB"^B


MeBB _y7Ee 现在的杀软智能化了，移位么？呵呵 ，追杀你。_J(W:u \
b't[

9i1i^(o(C9wk 如果你想了解怎么个移位法，去百度搜吧，大堆的老教程等你看。
K#Fq!N"wG
C;n+|6DY2[Z)} 二，重建输入表sr)V*beZ
.g_-Mq1yyQJ
效果不错，这里说下，简单的重建输入表，还是可以过我们的国产杀软的，外国的就不行啦。哈哈
8DB[t#{\+\7iU1X
.B4x2dl,e"NSI"e 这里我介绍下，
.`,y?;C yNp6p K2^i*H'[t
用到工具：
)f8P Y5g[ importrec1.6 `W{d"?U2c#Gm7o
od
h]sQ%I_m9m-X6W c32asm
'p9K~w;bd loaderpe
w5L_A
~/Zf 这里我们简单的介绍下，如何重建输入表R(h&^ }:J"Uc1y1N
'B h,@0uY'xVFUm[
首先吧文件拖入od，打开inportrec1.6
O3i7P-nCA+w!w
_$Jpyn(r z!A%Ln 如图 选择拖入od的程序，n/n3d8PA%|
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311047179550_30322.jpg[/img]L$L,s0b
F8? x'{

au~FQ}0b E 这个时候，我们打开loaderpe，
U:W:zu%_3mFy
K8t4f!j!c%qT| 拖入我们的木马
Ej3u)KhB!E)\,y5?
J/X N:ud 选择目录，
p(_!EE&}n 3X-ljZ4i
我们看到导入表这里。。。ZY#va!L K

8?u n"L*d W7b+[ t w*b 如图：cd%K,O4~m
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311050246640_30322.jpg[/img])iq+y%u$q*g

5Z2K;L+i#VT RVA地址是0001D000  大小是0000154C%Q!|"oSX

KP(t-rzxa'tV 好的，我们把这两个输入到import1.6里去!X9|jc}z{

E3K$X4Y'yF~y-M 就是在“加载树文件”那上面一点 9y[/v*M1}"d

L
na.LOVX&iYe)JW 输入RVA的地址和大小。
:Qok)QEt ^4J #`}Tr-au0mZ
点击“获得输入表”+n6jaTq&sO
8}fS ?TRz,x$wU
然后点击“显示无效的”
.I7c(Z SAu-ip
ve'K_(K i4Y@
接着importrec会自动列出
6W'Cu3{-G"n"]
t p
s7zBp&e 我们把深蓝色的字体  右键   剪切无效的指针
gB g@:[9eW7\
t'g&O1E.^xe5n M
]HLDB6Y9S&U
最后，我们点“修理dump”
i+s[+EI~FHr
1n'unh\2XWJ(m
选中我们的木马就可以了
2TO{{_&f&`h;l Kt1td7lP7}#Y
最后我们要用到c32asm
d-o;P-PI[
W/i@8n"X
ny$m4JJ6FX:`L
我们会看到两个输入表，我们只要把原先的输入表全部填充为00就可以了。.goOB m"^x
;g2ghF\)A$nK
这样做，只能过国产的杀软，外国的 如卡巴就免杀不了（如果他的特征码在输入表的话）
%x;ir5YD u4J x c!u|U?
这里，我教大家一个方法，也是重建输入表，可以过卡巴，不过加了个小步骤，5H3h&TQAP

)HW0d1{"T+cq 我们把马子拖入od的以后，打开了importrec1.68]4}A"xv"@
bp


g n(w$m$OG^'}t@%m 在选项那里，选择根据序数建造输入表和创建新的IATMAPG%^C

u#o,R:e+i 如图2B)q8b []#Sj
}&t
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311111283643_30322.jpg[/img]Y;J)q p^
j"V?W7LI
j
以后的步骤照上面的方法继续就可以了
!g*] mb+G#Q'|
`PKK
B)np c 不过此方法有个弊端就是，如果你在sp3下作的免杀  生成的服务端会在sp2的系统下运行不了:td"_?X rU
Y2v/d-L nm2p?
Ax
因为kernel32.dll的大小不一样。_WZ9@\*n9g"Q7L
rY{:aq9_{n2M}
3.修改originalfirstthunk
`f@'v|b!Cd+C %M5j%z]'~#SJ
如图所示
[Y"}+Cx.X'x MX1I [img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311118087031_30322.jpg[/img]RL4H'mT]%Uqhe1l ~

1m9Cs Bn
b(E8a 我们打开loaderpe，依次点  目录--导入表（后面那个横线）,V{CEy\Q.Cvk4`J+|

4Dy\V%a7^ J 我们可以看到所有的dll，如图，我们假设杀软杀的是wininet.dll
4|F/Hu`9p'q%[
E*_*GF`\"dP 我们右键--编辑--把函数后两个00修改为FF
$H
[hPZ
5h"H[hUhU$z;q 这样可以过小红伞查杀。  虽然会出现错误提示
W DshV6]7|
&K Py6{)r2[ 但是不影响木马的功能，不影响上线。
[Gj0D+t|_*M
%qf+Q$c(N0i 4.dll后面加20 90法过卡巴查杀^O0z@7e%k)He
4VyV b`cKo/n}5o
需要的只是一个c32asm而已，非常简单但却非常有效
A|G$Z@-d
a 0oF;[6u&J5W
如图xr+hm0\k&f
o*wY}ZG S
R
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311123009041_30322.jpg[/img]^X\7M%])_ Lh#\
g}
eg OMyP
我们可以看到，?Mpqm_

;OX$u3] P NO8] 在ntdll.dll后面有一个空格和一个问号   对应的ascII码是20 90
r9p h D B~)Ief w
*ks7]8X8r`M2o 这里假设卡巴杀的是ntdll。dll下的函数ZwUnmapViewOfSection
8Oy'qv#B {U(`#yI4z7e7m
我们只需要在他的所属dll后面加个20 90就可以了
1agB0G2Qy.v
5fp8MbL{ 卡巴目前还不查杀此免杀方法BL3aI(m]1F
y\2N

X5xSYOj{;o
k.~-HzT"Ov0H*{
唧唧歪歪这么多，打字有点累了
"J-w`._w}Jk]/K&e[:L
~9U7jpm"E 以后有新的免杀的方法我会继续公布的。暂时先写这么多吧。
UW
hI_6n
~j
7~ @0v!O$NU"rb [[i] 本帖最后由 1335csy 于 2009-3-31 11:35 编辑 [/i]]

查看完整版本: 木马免杀之免杀输入表篇