【3.A.S.T】网络安全爱好者 » 原创专区 » 木马免杀之免杀输入表篇

1335csy 发表于 2009-3-31 11:30

木马免杀之免杀输入表篇

最近和一位木马免杀牛人交流，感觉新增进不少，+s#LO*Lw%n&}
?-N.i/_\b3R2Gib
特拿来分享给大家。 W$@-S@Q I L c:}P1V
/M%S(ux-H`-A
今天我们不提我们国产的那些杀软，真的垃圾的要死，
Xj$u4F;pE 7z Z5d(X;UD7BZ?
上次有位朋友叫我帮忙做上兴免杀过瑞星，说内存特征码定位在输入表
} wx ~'X)rCL?%A +|_!Tx3x
我简单的重建了输入表就把瑞星搞定了，
2X*v{?2z!@
"Q6u k;Uk)[.j'ah 失去信心了。我曰K.aK y!^gkFF;@ {

J[@x(W5B?&o,b.l 今天我们说的是免杀输入表，以下是我的经验，也有牛人传授的免杀方法。
L3rH7Px9B fE$` KR%}ue!Ve!v
首先，大家要知道一点，国产的都没有高启发式扫描，瑞星，金山等都没有。
.`%Trce%` B#R _,Q7ZoB*l
外国的，如nod32，卡巴，小红伞都有启发式扫描，尤其以卡巴的高启发式和他的2009主动防御难过。
"jR2iG7d,S1{ !ep f"vG
高启发式扫描必然导致特殊的特征码，我建议新手朋友做卡巴等免杀的时候，先把启发式调到最低Gl:pd!L0Up

*~I[1]R#g${
Ifw 过了以后再调到最高，再做免杀。
%[3?6_)t3F
oT'k"|;Jp-] C 以上是废话， g!O*|
u.`%GX
?qMd,V
好了，下面我们来说下常见的免杀输入表方法。
,P} w+a$r?
)D'P7Tj#M0O1CJH 一。移位法
%N*EL4}@+| Dy j3f'H?$I|6Q"[v
这个已经过时了，我们的国产杀软及时的跟上了时代，
G3X @#{k /t%X0Q}J7Y{
移位法在去年过金山和瑞星，还有江民都是可以过的，
M$|\5m7jnH}"J5V UC
.B7kK2t]e 现在的杀软智能化了，移位么？呵呵 ，追杀你。g9}+I"]w
!Q9J i0s9^0r'Ud\
如果你想了解怎么个移位法，去百度搜吧，大堆的老教程等你看。
#oB(`OD$y? _
wtv(Q9{x$Lv
二，重建输入表'_Zda{9y R5n

W'@)^a.]o5HE 效果不错，这里说下，简单的重建输入表，还是可以过我们的国产杀软的，外国的就不行啦。哈哈
g\'h3o%@,s'YA? k
| Ro)Gv+aQt]
这里我介绍下，
w6aKr+Y.It#q r/qq7LU?9X
用到工具：
uCS+I,eC#v4T importrec1.6P,i FPxBJN
od"j+B N-Z)X
DEJ8l ?
c32asm#B/V$e{+P0D#_
loaderpe
0Z1^.I7K0P:r)G 这里我们简单的介绍下，如何重建输入表
.J2^+O0^IhCr i Swc0Z*A r-U
首先吧文件拖入od，打开inportrec1.6
1SEk'RL8Q b
J+uw~Hm
如图 选择拖入od的程序，,wuu
W
] M5z
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311047179550_30322.jpg[/img]\W5q7Ev8|0{

D'h5II6~;HXS 这个时候，我们打开loaderpe，'hue gS(y[/@/c

DD!Ij2@4c E0W`i/| 拖入我们的木马(bC.cUZ
QX0I P
SY9Jw T&[2Z
选择目录，W5].V~8b3`9a7Un"d/H
M!V|"IO(`:T]
我们看到导入表这里。。。r1?/IH)mf]

$[;n9R8a2qm1P 如图：
hw"}3V+C [img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311050246640_30322.jpg[/img],O:\;?.kuO`#QQbRT

,w|:[Inb6I%cl RVA地址是0001D000  大小是0000154Cuu]7VZCRb~N-~&M

v!~9w
M#c0RS 好的，我们把这两个输入到import1.6里去vM |c\w&KD3[n
P*X9sH&~@
就是在“加载树文件”那上面一点
!^_\V]
GHKS4]Su/| 输入RVA的地址和大小。
"E Cj'BK,dq*KdI .zNwFjQRT\
点击“获得输入表”
2L {6^:UZJ3E+B
FhC3R*sV 然后点击“显示无效的”&ux[+zk)E
#H(HYG'V%A*cw
接着importrec会自动列出l$k:E7IaD
6`hz;EI8f)z!a
我们把深蓝色的字体  右键   剪切无效的指针
*d'lvmnZ
9w YXe2}:PD 8x.dfM1DX2Q
最后，我们点“修理dump”
1s,]:g o*v1}3yi 0gb:x.q2_
选中我们的木马就可以了
y'Y0O8^S_
S4_U
0g_g$\[W]"GK;W 最后我们要用到c32asm
[P k7W'u(v
6bA%E7AmK {o 我们会看到两个输入表，我们只要把原先的输入表全部填充为00就可以了。)Ax"k^5M

'Zl8P5mk!z }#uO8M 这样做，只能过国产的杀软，外国的 如卡巴就免杀不了（如果他的特征码在输入表的话）\3yF_"H
J(jDsu1f%T
这里，我教大家一个方法，也是重建输入表，可以过卡巴，不过加了个小步骤，w F-CLt3AF-BG Y
c
I:f9}F7o
我们把马子拖入od的以后，打开了importrec1.6k`"ai!d b

?0G_A"R6`2A'X
在选项那里，选择根据序数建造输入表和创建新的IAT@#@.kI`D pQ

%k:F7T9}p_|Ldu 如图-{_+fcR&a
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311111283643_30322.jpg[/img]
%teT2y E*^ J3X^`&]"qM.n-W/@
以后的步骤照上面的方法继续就可以了
U%B XcwhQ 3i1lawR
不过此方法有个弊端就是，如果你在sp3下作的免杀  生成的服务端会在sp2的系统下运行不了
}O;uB i8e?,q &I%oZf*T&S}5i2c&V
因为kernel32.dll的大小不一样。 bJ
JX-q`0W
s)}ga ^oD p3C&C
3.修改originalfirstthunk
.}pL;|Pd d.i kLO-H(nI R
如图所示O%z L `QCFV
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311118087031_30322.jpg[/img]Fg
`M3u9TR!pH
p[w/p_0E$zb
我们打开loaderpe，依次点  目录--导入表（后面那个横线）"q/m'C.^qYh%B;E-S
GEC"Tw NO.F
我们可以看到所有的dll，如图，我们假设杀软杀的是wininet.dllM7aN1Y Iy%T^
b/xg D*ISY
我们右键--编辑--把函数后两个00修改为FF
;}"eAY`"d9^ ^Q bX4Q3g3If
这样可以过小红伞查杀。  虽然会出现错误提示0|;lzk"B D
"},S6y!a*m
但是不影响木马的功能，不影响上线。,J Nbco*L]^K)k

(DTV+o3}0z 4.dll后面加20 90法过卡巴查杀'n)a!jX^

X,_r)c[LX"z 需要的只是一个c32asm而已，非常简单但却非常有效4t8w+nSQg{
{)OC
^e#N
如图
1BuC\a"r1nL b|0sy e;B
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311123009041_30322.jpg[/img]2@#r#`R5YUI
J!bH?k@ i
我们可以看到，VG)JG;kEu
]1`EP|?#e
在ntdll.dll后面有一个空格和一个问号   对应的ascII码是20 90
G ]}:\jz ;Yk)HXr%p
这里假设卡巴杀的是ntdll。dll下的函数ZwUnmapViewOfSection(zH!o3T hQ|
tW:]/h`
我们只需要在他的所属dll后面加个20 90就可以了
)e lh6CNtb ZgNA+A6A#ZS^'W
卡巴目前还不查杀此免杀方法'?h3S3{J;sId pA

8F| y1@U2I ~1j"o*U6o0| 5?IO.@Q)O&Ie
唧唧歪歪这么多，打字有点累了
)Ik-X*sj !VVTZ"g+x,k3|;?
以后有新的免杀的方法我会继续公布的。暂时先写这么多吧。
'|(O9GM&~1o@
,?cr#~B-G.O [[i] 本帖最后由 1335csy 于 2009-3-31 11:35 编辑 [/i]]

查看完整版本: 木马免杀之免杀输入表篇