【3.A.S.T】网络安全爱好者 » 原创专区 » 木马免杀之免杀输入表篇

1335csy 发表于 2009-3-31 11:30

木马免杀之免杀输入表篇

最近和一位木马免杀牛人交流，感觉新增进不少，
U'Bp(H!o&wD#g#wdz
E)NF_
d W)b 特拿来分享给大家。
+q1H[NyfsH 0o3P(enUV
今天我们不提我们国产的那些杀软，真的垃圾的要死，
]G.Nu Fmoi&V
0t!} p7p4r\Mr3i 上次有位朋友叫我帮忙做上兴免杀过瑞星，说内存特征码定位在输入表
`_-W#Q*s W3x.[ Y.N4aEO+C9L
我简单的重建了输入表就把瑞星搞定了，
9ZM2t D
REu2~ Ok
b8B$G$F%K4A 失去信心了。我曰u
nMJ6_,QI.z M},^

0[TWyy,\Km-cx 今天我们说的是免杀输入表，以下是我的经验，也有牛人传授的免杀方法。
N E `Q*_3V(_
M"og%_{"{$]-C9F 首先，大家要知道一点，国产的都没有高启发式扫描，瑞星，金山等都没有。
-}e5Fo,N4Vyk -a~6I3Kcp2KH(K
外国的，如nod32，卡巴，小红伞都有启发式扫描，尤其以卡巴的高启发式和他的2009主动防御难过。i-G@'aDq D

v$j ]^/_nz 高启发式扫描必然导致特殊的特征码，我建议新手朋友做卡巴等免杀的时候，先把启发式调到最低)D%ncQ1E,UB

(Cg3K\%d2px 过了以后再调到最高，再做免杀。
1_2u Kq Bx
+O bb u `O:Y:r$T#k 以上是废话，
%? x1Zp h2f;V$[ :z9{;u_9t?|B$G0i
好了，下面我们来说下常见的免杀输入表方法。
&Oep/PI{
1Y!A N \E{/B 一。移位法
7`%I h`
E*H $@R\G*\bS s7n
这个已经过时了，我们的国产杀软及时的跟上了时代，C5W&eIq6\@J
aAF.H l_%[0Wx5r%z
移位法在去年过金山和瑞星，还有江民都是可以过的，
I)N4~lRi1TP
gt)G D,n!kw1u%x 现在的杀软智能化了，移位么？呵呵 ，追杀你。
8s6L c9n;@+]6q:w}
G$~
_klu1[ 如果你想了解怎么个移位法，去百度搜吧，大堆的老教程等你看。%l| v}!D,`${0D;U

d1C+x JKXQ@ 二，重建输入表
|x^p4n-^k
.I"Y&Y!RF
效果不错，这里说下，简单的重建输入表，还是可以过我们的国产杀软的，外国的就不行啦。哈哈l{,F5cAg p2X
KNt}6X0E&p}&WO#z
这里我介绍下，h|*tF*Z z
:LwT%jt[(qu GpW
用到工具：
(J0n8ob I)BY importrec1.67t6hx#D
Q
od4B/t1V3dS(?
c32asm
ZGhR0nF
loaderpe.X i!Z,x~N6R
这里我们简单的介绍下，如何重建输入表
Y#BK$aA`R
Jp v$p_bc5[N&Y[
首先吧文件拖入od，打开inportrec1.6
j(Y M-Pdq%kjP {f'Z!?+T@i/DV7yY
如图 选择拖入od的程序，3L:q&P0M3QVKy
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311047179550_30322.jpg[/img]
c+~&nG-]f#BE s H4JfR{0sPsg
这个时候，我们打开loaderpe，iv
_
S^O
tA[_

/D-e1l|m 拖入我们的木马pwo:N U@j9K1Yb/^
\)[2ju,Kf:wm
选择目录，!k+xr dB

(d%Xmm/OXg 我们看到导入表这里。。。
d*E-hMD,p%Q
7ZU'Yq5Rag 如图：
@El}&@+rmIk b [img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311050246640_30322.jpg[/img]
NF)ns)|H9hQL #e K{e1d/i l
RVA地址是0001D000  大小是0000154C7n$I#iI8w%vn[

4?4L Z5sa6K 好的，我们把这两个输入到import1.6里去)h mopj\L7d
S7y3@P)G:[i5`
就是在“加载树文件”那上面一点
&Z.e1qd;{(Tk0d
)V-G5E~v*^8@ 输入RVA的地址和大小。
.rAKoe0x'UR*R
P7s WZ%aa7T 点击“获得输入表”rG)K'y0Af

9Q.V-L4a(^ 然后点击“显示无效的”Y$Q3G
S#h\

~
cV;U!w7uPq#E 接着importrec会自动列出
.TP8k)\Lu
/oP,H I
b B3n'k 我们把深蓝色的字体  右键   剪切无效的指针$j-{G*Bi%o#wq
4x;L]1z C#i(\
1}5\4@K6C
最后，我们点“修理dump”
4U7o.K+h)VZnD8L
(p'RF;M+` 选中我们的木马就可以了
u
m'r;evi,B
.df0a@(?&S*fn/~ 最后我们要用到c32asm9L#kQV^%aA0k
E)jNrm@K[
我们会看到两个输入表，我们只要把原先的输入表全部填充为00就可以了。
C7e'gc\P
k |U;L E~9}#W^6j0Y 这样做，只能过国产的杀软，外国的 如卡巴就免杀不了（如果他的特征码在输入表的话）
6wHT
s2L?f:P C ;UdID JA
这里，我教大家一个方法，也是重建输入表，可以过卡巴，不过加了个小步骤，
Dd"fLhx.h0m5G
d^aLJ!Z 我们把马子拖入od的以后，打开了importrec1.6"y5e,[!A/`1M.D9J

Daa)`3K
在选项那里，选择根据序数建造输入表和创建新的IAT
%`([(g.MXh| S&|/Oy3Q
如图G:b(?vWkAKI
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311111283643_30322.jpg[/img]I'K3I-O$m{-c
w5x/`{a%_
以后的步骤照上面的方法继续就可以了
NiNh1~#Ov"|C &C!A}u;^!fU|\
不过此方法有个弊端就是，如果你在sp3下作的免杀  生成的服务端会在sp2的系统下运行不了U a!p2J-n'F

)@!~~r/RqC 因为kernel32.dll的大小不一样。?/P| ]Z!e#M

U
P_3Zx 3.修改originalfirstthunk
:YT s.I1c#a8x5Tj(e
ViC#x ~7v-n 如图所示
/d}.v
m}'L [img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311118087031_30322.jpg[/img]J$QY:W!y

N?l A7S?D"V 我们打开loaderpe，依次点  目录--导入表（后面那个横线）
^&rGf\TMq
3S p b%K6G 我们可以看到所有的dll，如图，我们假设杀软杀的是wininet.dll
,B+j+v;jNvJ#V
3~G~
^ pl+k4[ 我们右键--编辑--把函数后两个00修改为FF
u;|+^/NcX)K1c#uK|
*}wBy8h/w7M 这样可以过小红伞查杀。  虽然会出现错误提示V*L;b:Xr m4F8F
S0rA$wY
但是不影响木马的功能，不影响上线。
8\(i Q&G(KUM K
:T?v+k0[ 4.dll后面加20 90法过卡巴查杀W8g m$Z5Aa%qDx&T"^
,SvaM;K|
需要的只是一个c32asm而已，非常简单但却非常有效Cp!b.c'HJ

w]jS9`6] b 如图gP2@
r!\Y1{'_b

&r eqH"W7BJ? [img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311123009041_30322.jpg[/img],B6QVL,\'F ~ e
\sJ5d
I-K \(~ P;F3]~.X/n
我们可以看到，
o h9].OCw/sa7]7f RH
&Ku4z*J:OA 在ntdll.dll后面有一个空格和一个问号   对应的ascII码是20 90
)[i][
K J s/\/Q o!C Z
f|
这里假设卡巴杀的是ntdll。dll下的函数ZwUnmapViewOfSectionhd5i'DK br

6evs7|3xOd 我们只需要在他的所属dll后面加个20 90就可以了8aX MLX

Uj&\e%dcx
卡巴目前还不查杀此免杀方法
&@'t.`DCB &O
@`!k"O$A,V'z~0g
},Kf2VQy)A rKr
唧唧歪歪这么多，打字有点累了
[-ym(NJvu ~^PeKAy
以后有新的免杀的方法我会继续公布的。暂时先写这么多吧。W?&y(|
Y2E
X;o"L"N-L:R#Wpc
[[i] 本帖最后由 1335csy 于 2009-3-31 11:35 编辑 [/i]]

查看完整版本: 木马免杀之免杀输入表篇