[原创文章] 个人免杀经验分享

经验, 分享

原创作者：1335csy [3.A.S.T]
; v+ \: F. r$ F: b0 Z' _* |- `8 J+ a
信息来源：3.A.S.T网络安全团队  （ www.3ast.com.cn  ）, ~- ]7 K2 j3 k8 l
2 ]$ V: D5 B1 Q: P! N- d
来了3AST很久了  也没有写上什么有点价值的帖子，今天这个帖子算是抛砖引玉吧。。+ t' A$ E* ~& ?2 H5 a& v1 j9 k

免杀也弄了有点时间了。。现在分享下我的经验。3 F5 |0 {0 J6 A3 Q* k

首先建议新手朋友要学会定位表面特征码和内存特征码（定位方法有细微差别）& u5 @3 U) v' N) J- M0 j, g
3 ?; ?- B+ [  e$ R
修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。. @8 u- W4 [8 W3 y% h: A
3 N; `6 @% `5 X' j' U% m, P. l
第二个是要学会写自己的花指令，不要以为免杀怎么难，多么难，只要你会一点基本的汇编，& [9 A" {* K- r. Q% {

再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。) i- `. F' ?9 K# F1 Z& x8 c; \

很多新手朋友曾经都这么问，什么是花指令？所谓花指令，就是一些，没有用的指令，1 n# t; F% |7 M0 u( ^9 P! H
3 J5 o, B3 q2 C3 J
其作用是干扰杀软的查杀，写花指令最重要的是维持堆栈的平衡，很简单。
* K7 _  n) ^( G0 H& ~/ D
顺便说下，花指令对卡巴有特效，但是并不意味着，一个花指令就可以把卡巴斯基搞定。! [) O; d" y0 S6 R+ N9 }/ x
' H+ _# W7 K2 B; Z9 W) F3 |
对付卡巴斯基，需要多种方法结合，壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。

对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候，修改特征码对付他效果好，* I+ i7 |% Q3 U5 ^+ I3 t8 h
& U6 j9 s1 W# t2 R! ?
对了，花指令对瑞星不是很管用。( u3 A1 o% i( p/ D) H" L& J% W4 Q

做过NOD32免杀的朋友都知道，NOD32的特征码经常定位在输入表上。7 T$ G* A8 R! w+ [1 g* @
8 n  v4 f+ n8 X, y1 H' T
我们怎么看一个杀软定位特征码是在输入表上呢？很简单  你把定位出来的特征码放在C32ASM里面看。

对应的ANSI字符是在一些什么DLL后面或者一大连串的字母后面  这样的多半是输入表了。

输入表的免杀是非常重要的一课。
4 w" S; ^* w4 v7 ~2 R+ h* A# M+ C/ q
常见方法有移位法。上下互换法。以及重建输入表法。
0 g( Z8 z/ n$ m" T( C, c
移位法就是把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。

上下互换法则是再找一个和我们特征码那一个同样字节的字符串  互换一下。但不是通常都有用。0 w  Q9 W3 i# q4 J; v

重建输入表则是免杀输入表效果最好的了。一般的木马都只有一个输入表。

我们利用ImportREC来帮我们的木马重建一个新的输入表  把旧的输入表删除。。, X- P$ Y/ O$ ~' @! V$ B
/ g( \5 X7 v; B6 B
这样免杀的效果不错。。。( n' M; e0 W' t2 x, _  D, v
8 k8 ]* ]8 s. W* P# ^7 z+ E
关于免杀也就这些了，这也是个老生常谈的话题了。说来说去无非也就那几个方法。8 [6 m" f) ?6 }+ \# m( B  q
6 n5 y# W- U5 C" k
什么入口点加1啊，区段加花啊。。修改区段名字啊。。。

大家多多了解下，  免杀不是很难的事。。
  x0 C9 z$ X' l" i3 A. u
此文仅写给新手朋友一看。。老鸟飘过。。

1 评分人数