[讨论]工程化的免杀方案 工程化, 方案, 讨论

wlfjck

[讨论]工程化的免杀方案
议题作者：husheng34
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

说到免杀和杀软之间的关系,就像矛和盾之间的关系,永远不可能有攻不破的 盾 和 守不住 的矛,

但矛有好坏之分,免杀也有高下区别,

有的免杀可以经年累月,有的旦夕湮灭,

究其技术上的原因,排除其它如流传范围,病毒上报等因素,

主要还是免杀方案的复杂度,越复杂的技术,免杀时间越长,

因为杀软工程师需要的调试时间越长,可反过来,做免杀的时间也越长,

所以,如果我们能用效少的时间,换取杀软工程师大量的时间,

那意味着你的软件能活的更久.

//////////////////////////////////////////////////////
如何提高这个比值,我们想想最常用的免杀方案,也许可以找到答案,

自己最省事,杀软最头痛的方法,

很多人会说 "壳",老鸟可能会说变形病毒,可他们都存在一些另人不满意的问题,

针对传统的壳和变形病毒,我们可以抽出他们的部分特点归纳如下:
..................
壳
好处
1:使用简单,方便.
2:通用性强,一个壳可以对应很多种软件.
坏处
1:不能对文件感染软件加壳.
2:自身抗杀软能力不强,因为这不是并不是大多数壳的目的.

..............................
变形病毒

好处
1:可以实现所有种类的黑软,只要你有时间.
2:抗杀软能力很强,设计目的.
坏处
1:编写复杂,调试化时间.
2:大部分变形病毒 藕和性 很高,可谓触一发动全身,很难重复使用以前代码.

基本你化的时间,不见得会比杀软程序少,更本无法提高比值,

不过是化了更多的时间,让杀软化更多时间破解而以.

//////////////////////////////////////////////
我们如果能综合以上两者特点,就能得到最好的结果.

一个能自己变形,并感染文件,的"壳"

针对文件特征码,只需要修改变形引擎,但内存特征没什么好办法

/////////////////////////////////

以下是具体方案:采用分层结构

1:变形解码部份(由变形引擎生成)
解密真实代码


2:PE加载部份.
把第三部的PE文件链,

解压还原,
内存加载,
动态库链接

3:有效的PE文件链

.data
PE1
MZ00012
.........
PE2
MZ000fdf0
.........
PE3
MZ000fdfd
.........
..............

但这种方法,主要好处有:

1:查杀困难,查杀比免杀困难的多(变形病毒特点)

2: 多个软件,只需一次免杀.

3:代码段复用,模块本身可以导出函数供 被加载文件使用,

比如HOOK,隐藏自身等.

4:模块互换方便,传说中的自变形?

缺点也很严重

1:只能加载有 文件重定位 的文件,

如DLL文件,
或编译中添加重定位,
或反汇编引擎 添加重定位表.

2:技术复杂,不能保证所有被加载的文件都能正常工作.

其实一般软件自写壳,免杀就足以,以上方案主要针对要感染文件的软件.

songzihui

这个话题好啊!
不过有些地方看不懂...阿尔卑斯与八宝糖还有冷苹果
帖子66 精华0 积分289 阅读权限100 性别男 在线时间141 小时 注册时间2007-11-21 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP 赚更多的钱

wangyan111
晶莹剔透§烈日灼然

十六

原来见过 FISHPE大大的牛壳.... 很期待他更新下， 可是....fuck you
帖子8 精华0 积分15 阅读权限40 在线时间12 小时 注册时间2007-4-3 最后登录2008-6-19 查看详细资料引用 报告 回复 TOP 良辰择日，预测咨询，公司改名，权威易经

洋洋洒洒
荣誉会员

li85

我的想法是把代码变成数据.
问题还是出在没有重定位表上.
貌似反汇编构造重定位表很麻烦很乱

这样 就可以在任意位置执行就无视内存杀毒了吧?阿尔卑斯与八宝糖还有冷苹果
帖子66 精华0 积分289 阅读权限100 性别男 在线时间141 小时 注册时间2007-11-21 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

husheng34
荣誉会员

江湖

dll全是重定位过的,

exe编译时可以加重定位表,

不是太复杂的exe,用反汇编引擎,因该可以解决,当然会很麻烦,

代码变数据只是最基本的,

代码->数据->随机加密->随机解密(多形病毒)

多形病毒在像壳一样,加载dll或exe,

查杀会比免杀困难的多,免杀时间就会很长.
帖子78 精华2 积分3543 阅读权限100 性别男 在线时间112 小时 注册时间2006-4-30 最后登录2008-7-13 查看详细资料引用 报告 回复 TOP 少女暴富的隐秘（图）

洋洋洒洒
荣誉会员

carsoom

壳要有通用性,还是应该把exe当作没有重定位表的.毕竟很少的exe在编译时候会加上重定位表
我觉得将代码变成数据,虽说是 最基本的,但是如果把这个"壳"分成两部分的话,代码变数据占一部分(dll不说,exe确实....麻烦啊,当然高手的话可能就不觉得了吧)
第二部分便是loader了.多态变形等等

请问"多形病毒在像壳一样,加载dll或exe'是什么意思?能说明一下吗?阿尔卑斯与八宝糖还有冷苹果
帖子66 精华0 积分289 阅读权限100 性别男 在线时间141 小时 注册时间2007-11-21 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

linchun
晶莹剔透§烈日灼然

飞渡33

特征码时代已经过去了。没有必要去讨论了。

现在都是主动防御。 对于一些公开的软件，尤其是远控的软件。 杀软已经研究透了。所以很难穿透主动防御。

个人感觉后免杀时代应该是 系统函数(如zwsetsysteminformation WinExec) 的问题

比如zwsetsysteminformation 被杀后，就得令换其他函数来加载驱动
帖子2 精华0 积分2 阅读权限40 在线时间5 小时 注册时间2008-5-1 最后登录2008-7-6 查看详细资料引用 报告 回复 TOP 让女孩一夜变的更有女人味

husheng34
荣誉会员

发车狂

晕倒, 主动防御,还不成熟,

过主动的方法太多了,我也不多说了,

你认为主动强,只能说明你只会网上已经用烂了方法,

稍微动点脑子,过主动就和玩似的.....

现在杀毒还是主要靠特征,

虚拟机,主动,实时防御都还没办法独拦一面,

个人估计,就算以后很长很长时间内,都不能代替特征码.

最后,不要以为知道一点,就说什么时代,什么时代已经过去了,

熊猫已经充分说明,做这个很多情况并不是技术问题....