|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
原创作者:1335csy [3.A.S.T]
# \) ? c# y7 C% }! X) m+ V5 d$ E/ h) `- m& Y
信息来源:3.A.S.T网络安全团队 ( www.3ast.com.cn ), S8 k$ {% o% N$ \- B9 X
T) P( \2 y! T5 @% c2 b来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。* X. t5 f' j2 a3 `( O ]
: ~4 |/ }+ E+ h. C$ U1 h, j, l- A0 k免杀也弄了有点时间了。。现在分享下我的经验。$ o( N4 f* S2 p% k. d% B
7 j, I6 Y" k# p7 P7 a" [& K首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)
- l1 w |) E" j- C
3 x6 t9 H1 \! L% i) v. X, Z修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。
6 G) g. a: @, A$ y* o
4 w! q% o' `) e8 x5 P4 t第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,
3 V* v6 I4 h7 z4 ` }6 T; m
& J3 F; U* ^% Q- y! ]& H6 ^4 q$ r, Y, x再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。
) t6 C3 n2 n+ q/ W- x5 z- }- w6 t: w# R& M; i2 c+ w2 i0 Y
很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,
- j% m. [' v* |" \5 W% G, m6 x/ w0 P/ ?& u1 O4 ~ A! v+ [7 Q. S$ }
其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。
, k- ~& z5 L9 E. H! y. V
1 N, _; e" z" F. Q3 Y顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。
8 K& p* x0 N0 O$ i, Y v/ k0 c+ O& y2 ~8 h
对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。
, z6 w8 S1 I1 C1 j4 v+ t: w% ^, t7 I/ F
' b, E; u; f) O: U! W0 q' j对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,
; t& f2 C- N: D8 J
9 x* m2 |; d2 d, M2 z- w对了,花指令对瑞星不是很管用。7 ?! \" d& [+ u) p6 G
Q ~; W& I7 P- V- I Q5 z+ _
; D1 l( \8 Q0 t) A做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。7 o: D& _6 M' ^' S+ S! }5 r
1 {. f" k3 H8 L5 K
我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。0 c$ r+ B5 w1 d3 d/ d
5 _4 \; c3 G9 i8 N( [4 J: }5 P: s' @
对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。$ ]' M+ _' ~5 F! S" f3 p# S2 X
' T* o, ^( G; d, S4 L输入表的免杀是非常重要的一课。 / S5 q) D" M" J2 h6 W
' Q* c! V& J- C! s9 h1 H
常见方法 有移位法。上下互换法。以及重建输入表法。
" I W6 ]$ e- R; N# B3 S' _1 g
+ |& y7 a" @3 `% \8 f移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。
e8 j. u1 D' o) T% }- {; Y# ?
! f" L2 d) n8 U# X% C2 Z上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。
' v3 ?" ]1 t2 w9 {' p2 g. s: I) k7 K& G1 x0 ?
重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。2 ]: K) f6 _0 u& I, d
+ t" u! l* ?4 k K/ Z
我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。! }/ a g: G; X2 \9 o% z& c& P
* i& X% s; u7 g9 x% L
这样免杀的效果不错。。。
6 F( V1 p+ }' k4 \. h6 }) P6 t4 |# r, I* x# O) g
关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。
' x; f) y0 }5 C" O" o3 H K
2 r& S S* @; V5 S0 }2 z% f. k什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。
) G+ {9 {: L& l# c9 P
! R. M3 z( O+ g# Y/ L9 B/ C大家多多了解下, 免杀不是很难的事。。6 C5 v6 |4 q s4 b
$ o9 [4 u: g/ X
此文仅写给新手朋友一看。。老鸟飘过。。 |
-
1
评分人数
-
|
发表于 2009-2-16 20:17
| 
发表于 2009-2-16 22:44
| 
