【3.A.S.T】网络安全爱好者 » 原创专区 » 木马免杀之免杀输入表篇

1335csy 发表于 2009-3-31 11:30

木马免杀之免杀输入表篇

最近和一位木马免杀牛人交流，感觉新增进不少，
Z*e@RjWYi;|O ma#zc$o.[w\'}N
特拿来分享给大家。
+f+ATFKfI ~
0E.r*h-b&[7b"m8[\!?5G 今天我们不提我们国产的那些杀软，真的垃圾的要死，
uBR+oP {6^;FT?~6lrt
上次有位朋友叫我帮忙做上兴免杀过瑞星，说内存特征码定位在输入表0xA!H"G,o#UF$F/xKU
+cXc]6LJ\
我简单的重建了输入表就把瑞星搞定了，
;Ap/M5tH"q&sf
E0]g7p$KJ,\
z'bV 失去信心了。我曰9M&v&o o u&PM$?b
k;Tn0Cb
今天我们说的是免杀输入表，以下是我的经验，也有牛人传授的免杀方法。;[.O,L'j\hd

!z)m!cgZf8C 首先，大家要知道一点，国产的都没有高启发式扫描，瑞星，金山等都没有。-lN^:J_!X2t1U

T}]+@;H%J(f*D(c 外国的，如nod32，卡巴，小红伞都有启发式扫描，尤其以卡巴的高启发式和他的2009主动防御难过。'G [,_N*y,P3}'b&L

Q&WG\4Lsf 高启发式扫描必然导致特殊的特征码，我建议新手朋友做卡巴等免杀的时候，先把启发式调到最低
$]d){*iG0|u?5w Kg
!Z/vHxo.\#M 过了以后再调到最高，再做免杀。0f)B8mo RSM
%qW#sl z`HCL+@1f ?
以上是废话，5{zf!cHd:vu8?

#p8EtWss#K%y 好了，下面我们来说下常见的免杀输入表方法。
1LB^o$F`+wc~
-x7b*Eeo'@r^G 一。移位法
P'f&R6zZe*^6x
i `$GgA$o^d 这个已经过时了，我们的国产杀软及时的跟上了时代，jT1a{ iJdB
gA6N*];u"u&[A[
移位法在去年过金山和瑞星，还有江民都是可以过的，
bX(?XIj1~v%E+B
Ces n#ZFe} 现在的杀软智能化了，移位么？呵呵 ，追杀你。
6i0GR/eSGE8x k$}&b
[2M,i
hF
kp
如果你想了解怎么个移位法，去百度搜吧，大堆的老教程等你看。H*F9G]Jq|*Y
z%Zi5p0E@
二，重建输入表2G-z;Z%V7JE?)Yh~F3G
,A3n;Tk j)e5{'Bj
效果不错，这里说下，简单的重建输入表，还是可以过我们的国产杀软的，外国的就不行啦。哈哈7w#\1`2UvN ak

&H0d3u(}6}k(p:T~2VI
F 这里我介绍下， Z"?
W jnz
)l+{4@/b,k
用到工具：,I*S x#|%f*I+}
importrec1.6
,JS,].w*U G,ET-_3y od-R]J G!z i]"F
c32asm
s+nK{7\}ax loaderpe
&stS'd3QA 这里我们简单的介绍下，如何重建输入表-P;P1V/UI
4Id8l`1s%[
首先吧文件拖入od，打开inportrec1.6 r(Q!LVk;iT

E!X!OA(DD 如图 选择拖入od的程序，"Lv Z&DB#g T.Dk
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311047179550_30322.jpg[/img]"wYD9u ~

S``h$kS |#g 这个时候，我们打开loaderpe，
T?K#az3ey @p2ZS-L
QiY9L*n 拖入我们的木马
#^XA3]i c,qiW;p(P -i2h1Qz
\
选择目录，,Z\4zT,X I%RP

6^7?RF~'^ML 我们看到导入表这里。。。

w`:r Gi4\M
0yTb^O9g-{$M 如图：
oA+kz6sGsq [img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311050246640_30322.jpg[/img]
c*U3U$b c$P:B*nE)i /D;]q+}0Yj|Ej
RVA地址是0001D000  大小是0000154C
5z2g&dv8H3rG
@r$\bHo:R 好的，我们把这两个输入到import1.6里去8@/M(bMQ%Bl`
I
*BH oz?:Qn!VnC;R
就是在“加载树文件”那上面一点
(l3~8xb&\+c-aY&R
]Vo:F2_;@8L 输入RVA的地址和大小。4o,|.GbcUp

BV1B:\8]%X4Z 点击“获得输入表”
/vQUFmk9j
2WH WZ6R 然后点击“显示无效的”-g4kD({Vb#T*Ix
T|6Yl-Oer
接着importrec会自动列出
v_Wcq#p-F&c
\h;a2H4B 我们把深蓝色的字体  右键   剪切无效的指针8{9~,Rd&uvL

#D*K
yw*W^
aH8S $Vd+rS#B!]J sh
最后，我们点“修理dump”G w)_:tU X4dF)K

K$}ClBhY3O9H^d 选中我们的木马就可以了
%BY9X.`~i*N,BS B$Ed$kV
最后我们要用到c32asm6_5YuJp
)K(M.eg,Zz
我们会看到两个输入表，我们只要把原先的输入表全部填充为00就可以了。3\7n0XnC(L2K2ci

C8e(s0t+Y z9X'S 这样做，只能过国产的杀软，外国的 如卡巴就免杀不了（如果他的特征码在输入表的话）eF`7w0Fq
4JEM|D"Pi
这里，我教大家一个方法，也是重建输入表，可以过卡巴，不过加了个小步骤，
M)t/@/PuX;Aic
n}!AL#Y 我们把马子拖入od的以后，打开了importrec1.6'o4S2E(yG [kG
9}Q~c ^
在选项那里，选择根据序数建造输入表和创建新的IAT&M}'[1xn0o;{*|

Z!w3c`;Z 如图
V~BN2ma [img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311111283643_30322.jpg[/img]K(V@0FT
.Z,Z2d$l7X#wV
以后的步骤照上面的方法继续就可以了.L9{Z!E)Nb:M0j
ai&kQTsK#Z
I
不过此方法有个弊端就是，如果你在sp3下作的免杀  生成的服务端会在sp2的系统下运行不了
:_AE-z ]:Lg
| Zqq$kC;K0Y 因为kernel32.dll的大小不一样。
vXq_}b:h8O !sca"Z;G
a[e
3.修改originalfirstthunk
~ {&T]dcX
(n!plGe"z 如图所示
gZVe+Gf [img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311118087031_30322.jpg[/img]
6r9d(B%GA_ -x*V6JvAS
我们打开loaderpe，依次点  目录--导入表（后面那个横线）+d:k.h-D-F:l{

-zr`CU"{7Jo 我们可以看到所有的dll，如图，我们假设杀软杀的是wininet.dlle'UwWV!CKi;V

^E[w+j 我们右键--编辑--把函数后两个00修改为FF
6ycI9t
fz 3@Ox.ai,nL/]cQ
这样可以过小红伞查杀。  虽然会出现错误提示
)oNm*Q V%p _3Jr t#B(hrB&^
但是不影响木马的功能，不影响上线。(u(hgc~1c y'Z!o"qB d(r
&ZE
s/x g]|
4.dll后面加20 90法过卡巴查杀
Y1Clt,WU2~f0Av1a pHW)NT
需要的只是一个c32asm而已，非常简单但却非常有效!nf/@ iM(y

GiBaRe0g 如图
CO/K"W_bp4id 0@v&v6c I3apt3`
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311123009041_30322.jpg[/img]

K`j7g[RO3y#a IKa(fcx*]|4q
我们可以看到，,Y+S"t/Xi&o"V5{/DB

"L.v7b} d1e#t sAVV k 在ntdll.dll后面有一个空格和一个问号   对应的ascII码是20 90
p1mn F*|oz
!Xe6O"] t)o c!QU'X 这里假设卡巴杀的是ntdll。dll下的函数ZwUnmapViewOfSection
b'?*fW e YN
IT
Qwqc#^C%W 我们只需要在他的所属dll后面加个20 90就可以了
!|lhuCF8[+c m5_F3G8y
卡巴目前还不查杀此免杀方法&H`7jYR?
N];R5xE7F$yET

qiO2o;hL 唧唧歪歪这么多，打字有点累了
$NB9h"Y,Pa;Z
"hQo tdUf.L 以后有新的免杀的方法我会继续公布的。暂时先写这么多吧。t-VW$H-xs+lx l
"Z5F3i@ {}@*^+a)|
[[i] 本帖最后由 1335csy 于 2009-3-31 11:35 编辑 [/i]]

查看完整版本: 木马免杀之免杀输入表篇