【3.A.S.T】网络安全爱好者 » 原创专区 » 木马免杀之免杀输入表篇

1335csy 发表于 2009-3-31 11:30

木马免杀之免杀输入表篇

最近和一位木马免杀牛人交流，感觉新增进不少，
{mg7W+bC
R
}uRt#c M R 特拿来分享给大家。)rr:@ x!~

'J rV5Z7ynsH 今天我们不提我们国产的那些杀软，真的垃圾的要死，
8|8U(Xk+LC
']4T'{|s$? j2m 上次有位朋友叫我帮忙做上兴免杀过瑞星，说内存特征码定位在输入表
B~"V"I2v gY /O%I6p_O P0G2^W*b
我简单的重建了输入表就把瑞星搞定了，
ymP6o8u!CVY zC&G z9EM"K
失去信心了。我曰2@O%[WaD*pQQ

!kZ,|5A~v(md 今天我们说的是免杀输入表，以下是我的经验，也有牛人传授的免杀方法。
3^g
bm.goJa
X+j4\ zu!f0s 首先，大家要知道一点，国产的都没有高启发式扫描，瑞星，金山等都没有。
Od6RX:f$C0Z,Sa LL,GmbJ*b
外国的，如nod32，卡巴，小红伞都有启发式扫描，尤其以卡巴的高启发式和他的2009主动防御难过。t1^+VP+`?"pY
2[/l\#|q6|!J
高启发式扫描必然导致特殊的特征码，我建议新手朋友做卡巴等免杀的时候，先把启发式调到最低
+Z`f#`L1Q kB-z@)gT l
过了以后再调到最高，再做免杀。OB;L8A)^W

C$j]`%fngE"B 以上是废话，
?.t+NJ5a
~F5Z;e/H0Z]k 好了，下面我们来说下常见的免杀输入表方法。
&aWU,K#i[4G B4[b3ZP9@4^&@8dj.M
一。移位法
SltR}*c !S B!L"{:q"kq:@/^-u vR
这个已经过时了，我们的国产杀软及时的跟上了时代，W_+X2`+f0QH
"|o,hc@&A
移位法在去年过金山和瑞星，还有江民都是可以过的，?9|9K,rrcvi,a3Yi
Z#ODGWQ
现在的杀软智能化了，移位么？呵呵 ，追杀你。"v*U!T
~/]Rn Fv$X
+p"^V7k"yB1_ @
如果你想了解怎么个移位法，去百度搜吧，大堆的老教程等你看。{fE#u&W*f*WH6U

q)aoH4OZ\4Y 二，重建输入表
!x_C#t$CZFRO"K +s\M4H_y~7d&T
效果不错，这里说下，简单的重建输入表，还是可以过我们的国产杀软的，外国的就不行啦。哈哈
WA4WJ w]a wohy#BY%?kO*V
这里我介绍下，
s:`3K0x*Ak4L)X '^1\/R0Y1j7\
用到工具：
`,r]5o9?j importrec1.6
nr#~+D1Wr od%dTx
|%ut%y
c32asm
P?\wN)X o loaderpe)HE/]K2|
?1j
这里我们简单的介绍下，如何重建输入表n
xyuk a4M-V
G+^VzYk4P
首先吧文件拖入od，打开inportrec1.6
q-o7rw}c o [:{
h7qFH3d"Z 如图 选择拖入od的程序，|%c]{ RJ`9D4C9J(|A
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311047179550_30322.jpg[/img]
5q]@o1Gt+ke
3OkkH
Ev-J 这个时候，我们打开loaderpe，Dwj.a/b
#Kw
Gm6H `"Q
拖入我们的木马
"Z0\X$Hs,Cz
5r/s/Q3p] 选择目录，
*c.}lU(D,v ] $P
tv2}\|PR
我们看到导入表这里。。。
+a'b%cM'l)FV @ 1b.WXnNw&E
如图：t+sy%H)S
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311050246640_30322.jpg[/img]5D$I^^;N0P

ECN+_jq RVA地址是0001D000  大小是0000154C
1G$| [8SE+tv(L
z(bQ7[M'{
P$ZgJp 好的，我们把这两个输入到import1.6里去
e _7R-z:RPr(B!Y&L O3o~A3r?1C:y
就是在“加载树文件”那上面一点
$j*x%OgtJlH0D9y
9aB*f%wM 输入RVA的地址和大小。Uqy~7e

5l(}:g3d q)D? 点击“获得输入表”
!tPue4RV/O'B
&B2Ut8K a}?K 然后点击“显示无效的”)ns`I%t
.q!_} {W#u`i L
接着importrec会自动列出
5n2]2ZJs 8H]Kq-tO
我们把深蓝色的字体  右键   剪切无效的指针1]%Qo+AK8rGN
%u4~Wn8G]m7c,jZ

&XfFQB
U2S 最后，我们点“修理dump”
]`-s:u"V*x -_5}{L;L*sN8P;u'?RUL
选中我们的木马就可以了
(f
l9MdZ.D ,|AVpkl
最后我们要用到c32asm
-W1nn`z\.H e ].JP {#@"FP3h)}O
我们会看到两个输入表，我们只要把原先的输入表全部填充为00就可以了。
+\$j+C-NZ-EH7M*L
jLP k'q8V 这样做，只能过国产的杀软，外国的 如卡巴就免杀不了（如果他的特征码在输入表的话）V.k p]%tHp0_ y6dK

6~"r"cMN,\t 这里，我教大家一个方法，也是重建输入表，可以过卡巴，不过加了个小步骤，
k fo&O CR_C"Yc 'U^5y4JO
我们把马子拖入od的以后，打开了importrec1.6"D#LWN
K;_oz
1yy q.W*dC
在选项那里，选择根据序数建造输入表和创建新的IAT6Fh%Z3[|
:AV2Q7e;uP X~:t.Ob#?
J
如图
$mT0g+HcYDY-K [img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311111283643_30322.jpg[/img]e7}er@r(`H
KiH$}SLJ
以后的步骤照上面的方法继续就可以了
}${0z*|
zR&TB)i
$c_g"wC;h9N 不过此方法有个弊端就是，如果你在sp3下作的免杀  生成的服务端会在sp2的系统下运行不了&]0TVDdF
X4b+b,x&f$u
因为kernel32.dll的大小不一样。
2FE&V,lb
P:BblHOB[ 3.修改originalfirstthunk
"j-K{[y7n2_*N,KNJ
5q/H4X;v(B6n1[j#M_ 如图所示n.DC3p B+l2__pu
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311118087031_30322.jpg[/img]
!UJa:gq 4y#H(I#eQ$Tu
我们打开loaderpe，依次点  目录--导入表（后面那个横线）bpM9Sg(nlw
h

Y|F9eWo.?rH1\_ 我们可以看到所有的dll，如图，我们假设杀软杀的是wininet.dll
%|IU5GP Jft|4j 4wPTq,U5G
我们右键--编辑--把函数后两个00修改为FF
ni*bH8EH!DD6G h2P-C/SBt1xH
这样可以过小红伞查杀。  虽然会出现错误提示
M^0~Bva.R7r2`E1`
$X8x/{0Z']W/w 但是不影响木马的功能，不影响上线。c:o/M3PF x+i g-Fe\
P$`-nQ'i|Q
w3l+r
4.dll后面加20 90法过卡巴查杀
E TZ.dRL$Vkk Tu/|W+\ ~y
需要的只是一个c32asm而已，非常简单但却非常有效#Y0M1o9VVI

^"V+HC"r g 如图(S_zv!wpp

2ViY+x'X%wTr XQ [img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311123009041_30322.jpg[/img]
'i [ u;n Ha_lW s-]h[NC0U
我们可以看到，aW-j;qHzw/^
`NI(WkUs
在ntdll.dll后面有一个空格和一个问号   对应的ascII码是20 90
m/Jt6~!LEo
O:|
sM Fm 这里假设卡巴杀的是ntdll。dll下的函数ZwUnmapViewOfSection$k,P"n2FAVp qB

u%M;W'hxwv5c LH 我们只需要在他的所属dll后面加个20 90就可以了
!l|VT^^ Ne1^N/u:E-IU5r(w f
卡巴目前还不查杀此免杀方法
r6@tO g.})s(k
&Zkk"x(O %c(LoT2Zj5d
唧唧歪歪这么多，打字有点累了B)XNqW Wm
f

2o#tPv8j 以后有新的免杀的方法我会继续公布的。暂时先写这么多吧。
'O'zrI^~"Q "vHh ?$E/}5L [&QY
[[i] 本帖最后由 1335csy 于 2009-3-31 11:35 编辑 [/i]]

查看完整版本: 木马免杀之免杀输入表篇