【3.A.S.T】网络安全爱好者 » 原创专区 » 木马免杀之免杀输入表篇

1335csy 发表于 2009-3-31 11:30

木马免杀之免杀输入表篇

最近和一位木马免杀牛人交流，感觉新增进不少，
v?"x4m0y)I{*iz t
;~|;D0ARB5D 特拿来分享给大家。
-\ _3Ls_nE7Z ;MQ$nGF9m&c7? E
今天我们不提我们国产的那些杀软，真的垃圾的要死，6b7c)KS ZyK d

:D-d.fY-w ]
v?(^&v;q 上次有位朋友叫我帮忙做上兴免杀过瑞星，说内存特征码定位在输入表#R~5KJ[|t
*y6Z"j*W%uWH K3]3S
我简单的重建了输入表就把瑞星搞定了，
*{ T)w@`
Myak
biF!yO{7o 失去信心了。我曰$W_5CvNu m5m5v-b

Hr"a[5Zu5vdc
n5t 今天我们说的是免杀输入表，以下是我的经验，也有牛人传授的免杀方法。
6Yvi'OlF| D$i6Sq#r4E
首先，大家要知道一点，国产的都没有高启发式扫描，瑞星，金山等都没有。)b$M[!K nR`0B XF
1c(Z6r4D3z!a-c![r[
外国的，如nod32，卡巴，小红伞都有启发式扫描，尤其以卡巴的高启发式和他的2009主动防御难过。
gw?.o~ {'l+w d2[%n#X
高启发式扫描必然导致特殊的特征码，我建议新手朋友做卡巴等免杀的时候，先把启发式调到最低
9BLa qh
VN tw!?)u 过了以后再调到最高，再做免杀。*ja&`pp!T

*vc)_/Mm n)C"i&u 以上是废话，:ST"[4SJ.Y~od
&a`%I#Q)A[!b zEr
好了，下面我们来说下常见的免杀输入表方法。"_5v}7i*R+Ikz F

/W*gM3OmKv*G%os 一。移位法^ Y(cS(ib {:m
j g:Z_Kc
这个已经过时了，我们的国产杀软及时的跟上了时代， c-Q
N+Uc]n&cO6I
seK"v+m`_{Y
移位法在去年过金山和瑞星，还有江民都是可以过的，
lJ8l8^o5M,~$Uj
n4K@ytk!k 现在的杀软智能化了，移位么？呵呵 ，追杀你。-_5Ti'_ |
f

4x O)jFu&S 如果你想了解怎么个移位法，去百度搜吧，大堆的老教程等你看。
R$R? O_] $i?xui*g\t
二，重建输入表 Lj@#g V7s4x8w-z

%T q|
U3wz 效果不错，这里说下，简单的重建输入表，还是可以过我们的国产杀软的，外国的就不行啦。哈哈
{,@
QvQI'a'^
|0ATo z(k 这里我介绍下， D5uRz0X
;~0a
J6Qoa6C
用到工具：
Z$I9?X*Z importrec1.6Vg4M8w\8W-[_/T$S
od
$t8h] f(~Cp c32asm1MI7}P(iZ
loaderpe
B0Q#}i K{C 这里我们简单的介绍下，如何重建输入表Y;]\8T7F5U$CW2B
6L7wN"`5g
Nk1Gc&X
首先吧文件拖入od，打开inportrec1.6
7HKK-W.R:n
k;o_Y.}@9N 如图 选择拖入od的程序，H6ze'hhR8T
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311047179550_30322.jpg[/img]
Xlqn/T&~,Gly\
Fd7CA3WKT)G 这个时候，我们打开loaderpe，
UX"y7bS)?
d6eD"C6@2xGi8Gz#B 拖入我们的木马
$NBhKZ *X0c6`N6A9Xp
选择目录，+w"J,`0IG1U

'}-IW krwxdb 我们看到导入表这里。。。
D6OqN(_"K1Emf 7Z1JN3B4}*H
如图：eZ9O5Yr@~wQ
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311050246640_30322.jpg[/img]b^6mO$U&T[

qzz%?^Z6D RVA地址是0001D000  大小是0000154C
4wM@#oMg1aAHsi (y6i6O+P)Pj
好的，我们把这两个输入到import1.6里去
%_;M%ovi Q8l [1z^ ].yj/\
就是在“加载树文件”那上面一点 m|(H.s;D0mE(c

z"J]
C'I]:i7p 输入RVA的地址和大小。[;b1y
{ ?vw6_I

$@G _D:QVB%C 点击“获得输入表”
RU8V"fJ'e%ph
7p'E%[k[(Q!s u} 然后点击“显示无效的”8Q,}%i@&^m4{;Y qZ

I#u~%?(g 接着importrec会自动列出#xVl0JL6g

-mc'Jz)]&D.R%ob$i:ba 我们把深蓝色的字体  右键   剪切无效的指针Y~Go'dl

2UY7Vp%MyWn
Mh(P$Z5\f:@ 最后，我们点“修理dump”2SI.J4_&bt?

0mz$S5IT5vx@-G 选中我们的木马就可以了#f[lp$|O#O

r#W7u"] O5{"d9| 最后我们要用到c32asmO1G'ayWK
?4\

km;[W(EO uPL 我们会看到两个输入表，我们只要把原先的输入表全部填充为00就可以了。
{M_ \&|q0m ,t3|6kF7| YO*r
这样做，只能过国产的杀软，外国的 如卡巴就免杀不了（如果他的特征码在输入表的话）
%N`2D[,M8p;O $YYG&Cn5u6C0ozb*f-z
这里，我教大家一个方法，也是重建输入表，可以过卡巴，不过加了个小步骤，
6G
_N J8Uyt+R
&N&}(?%by]'D4EiGb 我们把马子拖入od的以后，打开了importrec1.6
M-g*j G-ya
OV%g+G4v!M]~ 在选项那里，选择根据序数建造输入表和创建新的IAT
'\2vPo^5Q p /x#D4M$Vd@2L)vk
如图
Rn5lC-iI
BM+A [img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311111283643_30322.jpg[/img]
`(RaX-lj^t3d
daVD m1H@Q5@Y6F7sTu
以后的步骤照上面的方法继续就可以了5z;h"xF7d }7n f!@
yMx%pQ)P$?
不过此方法有个弊端就是，如果你在sp3下作的免杀  生成的服务端会在sp2的系统下运行不了
(d6rp&[Y j 1T5G9p'X2i)S.]&u6z!RT
因为kernel32.dll的大小不一样。H6Y%rHY6SEt%R

%T6ralba` 3.修改originalfirstthunk
0K6{k(Hyap
Ap#K2}_$GV+lo 如图所示ls]heU E&o
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311118087031_30322.jpg[/img]
W;Fg0|*[9RX#ec
)?]X]'iBG/rO 我们打开loaderpe，依次点  目录--导入表（后面那个横线）A}nn5O3l"K?/x5?

1mm9H/H#f I_5[{ 我们可以看到所有的dll，如图，我们假设杀软杀的是wininet.dll
uf\SW9|kw t'a#x7v*Q
我们右键--编辑--把函数后两个00修改为FF
-u9MGkI
G5j\Vx 这样可以过小红伞查杀。  虽然会出现错误提示
^ T1m[:WL
}V7_z/UIk 但是不影响木马的功能，不影响上线。
aL1K Y/gi5Gy
YLf&tj/tc;y5B 4.dll后面加20 90法过卡巴查杀n,Q@^(m1V

Z!gC
z~I/]-G 需要的只是一个c32asm而已，非常简单但却非常有效
0@bEL#n:yspa8} t C.J"cW"gqF&e!O*j5G D
如图
m0]`
w9eBAA d)P?,j s(L9i
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311123009041_30322.jpg[/img]
)fC^_ @E#` w
fk6R*[hp}5` 我们可以看到，
R@q!u%qL:R#c'm#RX*Z
'}6_ |
nRr[ ](o 在ntdll.dll后面有一个空格和一个问号   对应的ascII码是20 90NddCP.McUzF$r
6U/BaN8C
这里假设卡巴杀的是ntdll。dll下的函数ZwUnmapViewOfSection5[,b m8?6M y
5T1qh0qlY'\M&U5F1I
我们只需要在他的所属dll后面加个20 90就可以了
^}R*E X+w4_
EvS[9vM 卡巴目前还不查杀此免杀方法&YY${
o1tf5n
de

6|(N ~HXX:nsD 5u HrzuG_
唧唧歪歪这么多，打字有点累了zEe^r-V

1eC9y:sBX3B"UD8~ 以后有新的免杀的方法我会继续公布的。暂时先写这么多吧。
O9V.}'ZJq
L,A']h_o#w+w [[i] 本帖最后由 1335csy 于 2009-3-31 11:35 编辑 [/i]]

查看完整版本: 木马免杀之免杀输入表篇