【3.A.S.T】网络安全爱好者's Archiver

黑客学习

1335csy 发表于 2009-3-31 11:30

木马免杀之免杀输入表篇

最近和一位木马免杀牛人交流,感觉新增进不少,
{3W jN2B$E on P+M G3@D0N I ~
特拿来分享给大家。9W N7J4Huy8xM0Y.e
E}7cK3jQ;g
今天我们不提我们国产的那些杀软,真的垃圾的要死,
V-P7w5B S;nW
1K$pM/e+Dk3cE 上次有位朋友叫我帮忙做上兴免杀过瑞星,说内存特征码定位在输入表A&y Ci p"oI'B

7BT,TTE7f@ 我简单的重建了输入表就把瑞星搞定了,
P"Q+M#m'@T
AouQ @y d/tLwg[ 失去信心了。我曰
%dd |A od*`K,B
$N{s4`!G"G)B _]Al s 今天我们说的是免杀输入表,以下是我的经验,也有牛人传授的免杀方法。uUw#k#pl

i\+VHj#P5[ 首先,大家要知道一点,国产的都没有高启发式扫描,瑞星,金山等都没有。
.F j\%? }K
haA"j\K;} 外国的,如nod32,卡巴,小红伞都有启发式扫描,尤其以卡巴的高启发式和他的2009主动防御难过。
PS Xa k;d
}N&r JQ 高启发式扫描必然导致特殊的特征码,我建议新手朋友做卡巴等免杀的时候,先把启发式调到最低uX ?PZ"@ mffJ

"z9On#q9y @L$i1Y 过了以后再调到最高,再做免杀。hqOD"p b SG&z
y-y"Zl@6|'|
以上是废话,
;v:{ AL N/l%s3a5n!A_
*Z i"aSk!_^ 好了,下面我们来说下常见的免杀输入表方法。
~:L%Q:N(q}"I
}`R v1sZ%e;i&E/aG 一。移位法Po YM)O%_-q+xg

R G)^1Qh:M-y 这个已经过时了,我们的国产杀软及时的跟上了时代,|d%`*f*| e\Q7m

1["T}$Re|6} ?%BhY 移位法在去年过金山和瑞星,还有江民都是可以过的, _Q+wB"^B

MeBB _y7Ee 现在的杀软智能化了,移位么?呵呵 ,追杀你。 _J(W:u \b't[

9i1i^(o(C9wk 如果你想了解怎么个移位法,去百度搜吧,大堆的老教程等你看。
K#Fq!N"wG
C;n+|6DY2[Z)} 二,重建输入表sr)V*beZ
.g_-Mq1yyQJ
效果不错,这里说下,简单的重建输入表,还是可以过我们的国产杀软的,外国的就不行啦。哈哈
8DB[t#{\+\7iU1X
.B4x2dl,e"NSI"e 这里我介绍下,
.`,y?;C y Np6p K2^i*H'[t
用到工具:
)f8P Y5g[ importrec1.6 `W{d"? U2c#Gm7o
od
h]sQ%I_m9m-X6W c32asm
'p9K~w;bd loaderpe
w5L_A~/Zf 这里我们简单的介绍下,如何重建输入表R(h&^ }:J"U c1y1N
'B h,@0uY'xVFUm[
首先吧文件拖入od,打开inportrec1.6
O3i7P-nCA+w!w
_$Jpyn(r z!A%Ln 如图 选择拖入od的程序,n/n3d8PA%|
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311047179550_30322.jpg[/img]L$L,s0bF8? x'{

au~F Q}0b E 这个时候,我们打开loaderpe,
U:W:zu%_3m Fy
K8t4f!j!c%qT| 拖入我们的木马
Ej3u)KhB!E)\,y5?
J/X N:ud 选择目录,
p(_!EE&}n 3X-lj Z4i
我们看到导入表这里。。。Z Y#v a!L K

8?u n"L*d W7b+[ t w*b 如图:cd%K,O4~ m
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311050246640_30322.jpg[/img])iq+y%u$q*g

5Z2K;L+i#VT RVA地址是0001D000  大小是0000154C%Q!|"oSX

KP(t-rzx a'tV 好的,我们把这两个输入到import1.6里去!X9| jc}z{

E3K$X4Y'yF~y-M 就是在“加载树文件”那上面一点 9y[/v*M1}"d

Lna.LOVX&iY e)JW 输入RVA的地址和大小。
:Qok)QEt ^4J #`}Tr-au0mZ
点击“获得输入表”+n6ja Tq&sO
8}fS ?TRz,x$wU
然后点击“显示无效的”
.I7c(Z SAu-ip ve'K_(K i4Y@
接着importrec会自动列出
6W'Cu3{-G"n"]
t ps7zBp&e 我们把深蓝色的字体  右键   剪切无效的指针
gB g@:[9eW7\
t'g&O1E.^xe5n M]HLDB6Y9S&U
最后,我们点“修理dump”i+s[+E I~FHr
1n'unh \2XWJ(m
选中我们的木马就可以了
2TO{{_&f&`h;l Kt1td7lP7}#Y
最后我们要用到c32asm
d-o;P-PI[W/i@8n"X ny$m4JJ6FX:`L
我们会看到两个输入表,我们只要把原先的输入表全部填充为00就可以了。.goOB m"^x
;g2ghF\)A$nK
这样做,只能过国产的杀软,外国的 如卡巴就免杀不了(如果他的特征码在输入表的话)
%x;ir5YD u4J x c!u| U?
这里,我教大家一个方法,也是重建输入表,可以过卡巴,不过加了个小步骤,5H3h&T QAP

)HW0d1{"T+cq 我们把马子拖入od的以后,打开了importrec1.68]4} A"xv"@bp

g n(w$m$OG^'}t @%m 在选项那里,选择根据序数建造输入表和创建新的IATMAPG%^C

u#o,R:e+i 如图2B)q8b []#Sj}&t
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311111283643_30322.jpg[/img]Y;J)q p^
j"V?W7LIj
以后的步骤照上面的方法继续就可以了
!g*] mb+G#Q'|
`PKKB)np c 不过此方法有个弊端就是,如果你在sp3下作的免杀  生成的服务端会在sp2的系统下运行不了:td"_ ?X rU
Y2v/d-L nm2p?Ax
因为kernel32.dll的大小不一样。_WZ9@\*n9g"Q7L
rY{:aq9_{n2M}
3.修改originalfirstthunk
`f@'v|b!Cd+C %M5j%z]'~#SJ
如图所示
[Y"}+Cx.X'x MX1I [img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311118087031_30322.jpg[/img]R L4H'mT]%Uqhe1l ~

1m9Cs Bnb(E8a 我们打开loaderpe,依次点  目录--导入表(后面那个横线),V{CEy\Q.Cvk4`J+|

4Dy\V%a7^ J 我们可以看到所有的dll,如图,我们假设杀软杀的是wininet.dll
4|F/Hu`9p'q%[
E*_*GF`\"dP 我们右键--编辑--把函数后两个00修改为FF
$H[hPZ
5h"H[hUhU$z;q 这样可以过小红伞查杀。  虽然会出现错误提示
W DshV6]7|
&K Py6{)r2[ 但是不影响木马的功能,不影响上线。
[Gj0D+t|_*M
%qf+Q$c(N0i 4.dll后面加20 90法过卡巴查杀^O0z@7e%k)He
4VyV b` c Ko/n}5o
需要的只是一个c32asm而已,非常简单但却非常有效
A|G$Z@-da 0oF;[6u&J5W
如图 xr+h m0\k&f
o*wY}ZG SR
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311123009041_30322.jpg[/img]^X\7M%])_ Lh#\
g}eg OMyP
我们可以看到,?Mpqm_

;OX$u3] P NO8] 在ntdll.dll后面有一个空格和一个问号   对应的ascII码是20 90
r9p h D B~)Ief w
*ks7]8X8r`M2o 这里假设卡巴杀的是ntdll。dll下的函数ZwUnmapViewOfSection
8Oy'qv#B {U(`#yI4z7e7m
我们只需要在他的所属dll后面加个20 90就可以了
1agB0G2Qy.v
5fp8MbL{ 卡巴目前还不查杀此免杀方法B L3aI(m]1Fy\2N

X5xSYOj{;o k.~-HzT"Ov0H*{
唧唧歪歪这么多,打字有点累了
"J-w`._w}Jk]/K&e[:L
~9U7jp m"E 以后有新的免杀的方法我会继续公布的。暂时先写这么多吧。
UWhI_6n~j
7~ @0v!O$NU"rb [[i] 本帖最后由 1335csy 于 2009-3-31 11:35 编辑 [/i]]

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.