【3.A.S.T】网络安全爱好者's Archiver

黑客学习

1335csy 发表于 2009-3-31 11:30

木马免杀之免杀输入表篇

最近和一位木马免杀牛人交流,感觉新增进不少,+s#LO*L w%n&}
?-N.i/_\b3R2G ib
特拿来分享给大家。 W$@-S@Q I L c:}P1V
/M%S(ux-H`-A
今天我们不提我们国产的那些杀软,真的垃圾的要死,
Xj$u4F;pE 7z Z5d(X;UD7BZ?
上次有位朋友叫我帮忙做上兴免杀过瑞星,说内存特征码定位在输入表
} wx ~'X)rCL?%A +|_!Tx3x
我简单的重建了输入表就把瑞星搞定了,
2X*v{?2z!@
"Q6u k;Uk)[.j'ah 失去信心了。我曰 K.aK y!^gkFF;@ {

J[@x(W5B?&o,b.l 今天我们说的是免杀输入表,以下是我的经验,也有牛人传授的免杀方法。
L3r H7Px9B fE$` KR%}ue!Ve!v
首先,大家要知道一点,国产的都没有高启发式扫描,瑞星,金山等都没有。
.`%Tr c e%` B#R _,Q7ZoB*l
外国的,如nod32,卡巴,小红伞都有启发式扫描,尤其以卡巴的高启发式和他的2009主动防御难过。
"jR2i G7d,S1{ !ep f"vG
高启发式扫描必然导致特殊的特征码,我建议新手朋友做卡巴等免杀的时候,先把启发式调到最低G l:pd!L0Up

*~ I[1]R#g${Ifw 过了以后再调到最高,再做免杀。
%[3?6_)t3F
oT'k"|;Jp-] C 以上是废话, g!O*|u.`%GX
?qMd,V
好了,下面我们来说下常见的免杀输入表方法。
,P} w+a$r?
)D'P7Tj#M0O1CJH 一。移位法
%N*EL4}@+| Dy j3f'H ?$I|6Q"[v
这个已经过时了,我们的国产杀软及时的跟上了时代,
G3X @#{k /t%X0Q}J7Y{
移位法在去年过金山和瑞星,还有江民都是可以过的,
M$| \5m7jnH}"J5V UC
.B7kK2t]e 现在的杀软智能化了,移位么?呵呵 ,追杀你。g9}+I"]w
!Q9J i0s9^0r'Ud\
如果你想了解怎么个移位法,去百度搜吧,大堆的老教程等你看。
#oB(`OD$y? _ wtv(Q9{x$Lv
二,重建输入表'_Zda {9y R5n

W'@)^a.]o5HE 效果不错,这里说下,简单的重建输入表,还是可以过我们的国产杀软的,外国的就不行啦。哈哈
g\'h3o%@,s'YA? k| Ro)Gv+aQt]
这里我介绍下,
w6a Kr+Y.It#q r/qq7LU?9X
用到工具:
uCS+I,eC#v4T importrec1.6P,i FPxBJN
od"j+B N-Z)XDEJ8l ?
c32asm#B/V$e{+P0D#_
loaderpe
0Z1^.I7K0P:r)G 这里我们简单的介绍下,如何重建输入表
.J2^+O0^IhCr i Swc0Z*A r-U
首先吧文件拖入od,打开inportrec1.6
1SE k'RL8Q bJ+uw~Hm
如图 选择拖入od的程序,,w uuW] M5z
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311047179550_30322.jpg[/img]\W5q7Ev8|0{

D'h5II6~;HXS 这个时候,我们打开loaderpe,'h ue gS(y[/@/c

DD!Ij2@4c E0W `i/| 拖入我们的木马(bC.cUZQX0I P
SY9Jw T&[2Z
选择目录,W5].V~8b3`9a7Un"d/H
M!V |"IO(`:T]
我们看到导入表这里。。。 r1?/IH)mf]

$[;n9R8a2qm1P 如图:
h w"}3V+C [img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311050246640_30322.jpg[/img],O:\;?.k uO`#QQbRT

,w|:[Inb6I%cl RVA地址是0001D000  大小是0000154Cuu]7VZCRb~N-~&M

v!~9wM#c0RS 好的,我们把这两个输入到import1.6里去vM |c\w&KD3[n
P*X9sH&~@
就是在“加载树文件”那上面一点
!^_\V]
GHK S4]Su/| 输入RVA的地址和大小。
"E C j'BK,dq*KdI .zNwFjQ RT\
点击“获得输入表”
2L {6^:UZJ3E+B
FhC3R*sV 然后点击“显示无效的”&ux[+zk)E
#H(HYG'V%A*cw
接着importrec会自动列出l$k:E7IaD
6`hz;EI8f)z!a
我们把深蓝色的字体  右键   剪切无效的指针
*d'lvmnZ
9w YX e2}:PD 8x.dfM1DX2Q
最后,我们点“修理dump”
1s,]:g o*v1}3yi 0gb:x.q2_
选中我们的木马就可以了
y'Y0O8^S_S4_U
0g_g$\[W]"GK;W 最后我们要用到c32asm
[P k7W'u(v
6bA%E7AmK {o 我们会看到两个输入表,我们只要把原先的输入表全部填充为00就可以了。)Ax"k^5M

'Zl8P5mk!z }#uO8M 这样做,只能过国产的杀软,外国的 如卡巴就免杀不了(如果他的特征码在输入表的话)\3yF_"H
J(jDsu1f%T
这里,我教大家一个方法,也是重建输入表,可以过卡巴,不过加了个小步骤,w F-CLt3AF-BG Y
cI:f9}F7o
我们把马子拖入od的以后,打开了importrec1.6k`"ai!d b
?0G_ A"R6`2A'X
在选项那里,选择根据序数建造输入表和创建新的IAT@#@.kI`D pQ

%k:F7T9}p_ |Ldu 如图-{_+fcR&a
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311111283643_30322.jpg[/img]
%teT2y E*^ J3X^`&]"q M.n-W/@
以后的步骤照上面的方法继续就可以了
U%B Xcwh Q 3i1lawR
不过此方法有个弊端就是,如果你在sp3下作的免杀  生成的服务端会在sp2的系统下运行不了
}O;uB i8e ?,q &I%oZf*T&S}5i2c&V
因为kernel32.dll的大小不一样。 bJJX-q`0W
s)}ga ^o D p3C&C
3.修改originalfirstthunk
.}pL;|Pd d.i kLO-H(nI R
如图所示O%z L `QCFV
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311118087031_30322.jpg[/img]F g`M3u9TR!pH
p[w/p_0E$zb
我们打开loaderpe,依次点  目录--导入表(后面那个横线)"q/m'C.^qYh%B;E-S
GEC"Tw NO.F
我们可以看到所有的dll,如图,我们假设杀软杀的是wininet.dllM7aN1Y Iy%T ^
b/xg D*ISY
我们右键--编辑--把函数后两个00修改为FF
;}"eAY`"d9^ ^Q b X4Q3g3If
这样可以过小红伞查杀。  虽然会出现错误提示0|;lzk"B D
"},S6y!a*m
但是不影响木马的功能,不影响上线。,J Nbco*L]^K)k

(DTV+o3}0z 4.dll后面加20 90法过卡巴查杀'n)a!jX^

X,_r)c[LX"z 需要的只是一个c32asm而已,非常简单但却非常有效4t8w+nSQg{
{)OC^e#N
如图
1BuC\a"r1nL b|0s y e;B
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311123009041_30322.jpg[/img]2@#r#` R5YUI
J!bH?k@ i
我们可以看到,VG)JG;kEu
]1`EP|?#e
在ntdll.dll后面有一个空格和一个问号   对应的ascII码是20 90
G ]}:\jz ;Yk)HXr%p
这里假设卡巴杀的是ntdll。dll下的函数ZwUnmapViewOfSection(zH!o3T hQ|
tW:]/h`
我们只需要在他的所属dll后面加个20 90就可以了
)e lh6CNtb ZgNA+A6A#ZS^'W
卡巴目前还不查杀此免杀方法'?h3S3{J;sId pA

8F| y1@ U2I ~1j"o*U6o0| 5?IO.@Q)O&Ie
唧唧歪歪这么多,打字有点累了
)Ik-X*sj !VVTZ"g+x,k3|;?
以后有新的免杀的方法我会继续公布的。暂时先写这么多吧。
'|(O9G M&~1o@
,?cr#~B-G.O [[i] 本帖最后由 1335csy 于 2009-3-31 11:35 编辑 [/i]]

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.