|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
原创作者:1335csy [3.A.S.T]
, n# Y& w% O9 q+ r8 ^3 b. N1 A6 a8 [: L# j9 x8 y7 t c" b" w: a
信息来源:3.A.S.T网络安全团队 ( www.3ast.com.cn )
5 }1 A) Y3 H) y$ f1 U- {
/ T9 R* W7 J# |/ S' H `来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。
# p7 S* a$ f& r; V3 U
* Q! Z4 D$ H! H# p: F( V7 j. p# `免杀也弄了有点时间了。。现在分享下我的经验。
" A- X$ b) {9 Q, F' ~) W- i5 v# {% f4 E8 `
首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)) L/ p6 H5 U, E' d
4 Z$ A- Z+ a: G0 N
修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。0 b0 l3 \" U/ i4 ?" T" o$ b
( x3 E) q' ?2 C+ d第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,
$ ?% O# {5 W+ r. j* ~3 I" r* U+ T6 e( l- `
再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。
+ D( W% L( ?5 r% O L
5 u! x7 c9 U9 w( z3 D很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,
, f* c. y- z8 E1 p
& J& l. }$ S( C( |其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。! i3 L+ W& ~( V( a
\, Q( o$ D2 z$ @顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。3 |' {" Z6 @: A& T; ^
- n3 F/ q# T3 p2 A
对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。
3 c# a; }7 f5 ^0 e, N$ X
& q' o5 w% D' ~7 H5 B对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,
0 g! _) b$ y: v3 }& v3 a+ `: n5 n c# ~
对了,花指令对瑞星不是很管用。6 a# b, x: A2 p; a6 R+ H
" E) y" C5 J* K; `4 K5 \8 x/ m" d' O: x4 ]$ M- O6 ^( _
做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。5 O( Z8 ]9 P$ m2 f: L9 J
$ X- X& F X1 U7 ^1 B- u5 S. B$ B( f6 K
我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。
* K- Q6 ^5 Q- S2 u" b7 l, }
% W; K8 {# `4 K' k9 j* P对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。
]- `& I. m3 Z7 b8 j
8 }- z3 v$ h( R" Q5 x1 D* D8 F输入表的免杀是非常重要的一课。
" X' n. ]0 _8 [5 z5 N5 _* n+ L/ X, a9 E5 z
常见方法 有移位法。上下互换法。以及重建输入表法。3 ^) h' g) E- x+ U' T: G9 y
2 v/ f0 K" Z, Y9 q* a) n移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。" ^. `) x& o. z/ s. X
/ j" Z" v1 J9 z- o! c上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。4 i9 D' K0 {' t. b6 [
/ S) J" m0 [8 c5 y
重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。
1 Q6 w L; ?3 r. [( V4 L4 N$ |0 l
) u" k7 V& J4 ]' q3 s& P7 w我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。
{9 J( m" p; | l: c F6 a/ X- J' b& G2 Q' X
这样免杀的效果不错。。。3 w' J \) Y5 ~- P8 ~: a
$ u8 _3 b1 S" ?6 ]0 I9 b) C% h0 l关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。
/ B. |5 ^& }5 L5 W) J5 |0 V; r' d" ^- K, w) b2 c
什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。
- R( E6 e+ M' e3 C
4 f! A) q1 ` `! ~% D+ t大家多多了解下, 免杀不是很难的事。。5 a# j. x4 N9 k" i' l/ O
. j9 ?: w1 k% v/ q7 L2 Y此文仅写给新手朋友一看。。老鸟飘过。。 |
-
1
评分人数
-
|
发表于 2009-2-16 20:17
| 
发表于 2009-2-16 22:44
| 
