标题:
[原创文章]
个人免杀经验分享
[打印本页]
作者:
1335csy
时间:
2009-2-16 20:17
标题:
个人免杀经验分享
原创作者:1335csy [3.A.S.T]
& H# d; }3 a I- a
+ ]" d- s5 D W0 H* C3 F7 h1 v2 A. c
信息来源:3.A.S.T网络安全团队 (
www.3ast.com.cn
)
) J6 G) k; L4 E! W, w: }7 F" C
0 z6 f' s! K! x; P# z, _
来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。
% N% e8 O: W3 }: c
6 c) h* b1 o" G1 f7 N4 |
免杀也弄了有点时间了。。现在分享下我的经验。
9 ]4 R" z& U1 A( L1 |: d
# Y+ ^$ O" Q; T9 n, u6 o, z0 P8 m! o. x
首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)
1 j* z: N! Q1 i w
1 X, {3 z" b4 \ ^/ n
修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。
6 g8 b( c. _! y4 N4 G9 h
" D; P5 U' H8 I, Z
第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,
/ N: D2 G4 i o$ J! R
3 U; k, I' b% H X3 R Z6 [
再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。
# B1 v n6 \* `; y3 }0 J
3 U% n5 g7 t5 `0 I m
很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,
. @, E1 y% V& a1 a+ Z9 U* l
9 `) }( \+ Y& ?9 r m4 T+ H
其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。
' V5 ^# ?) V9 g1 b/ Z
# m( v }0 m/ K/ t9 E$ |
顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。
: a; x4 I2 I. C3 J u
& M6 t& @" ?, V" M4 R
对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。
% P: w. ]# {8 b5 M6 K7 {
9 r" W: ?9 S) B$ i& y- R
对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,
! Z" i$ _6 z1 L) [
0 I0 y3 I5 E) q. _9 l
对了,花指令对瑞星不是很管用。
7 s1 m5 u* ^; [: K0 m9 A/ K! H
9 v. u8 w$ {" }
. t& R9 R8 k& K3 m
做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。
* \" ]) ~3 ~2 b' ]
0 g: g4 e& i) N$ k5 e1 B! L' b
我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。
, x' `+ n$ y0 l Y; m' E6 u
+ J) [: T# L" q) i2 s: V/ U. o) P# G
对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。
! l7 P; b% l3 x F
8 R: s f& [; J: u
输入表的免杀是非常重要的一课。
+ Z) ]1 J5 e( Z
5 d/ E) r0 A4 K2 q3 k% k
常见方法 有移位法。上下互换法。以及重建输入表法。
; u Y( e) T4 I- i8 z1 H/ w! z
* g. B/ E0 L5 e/ _. k
移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。
1 l8 A6 I- @: q6 e
7 N+ U* D/ D8 O9 G* ~
上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。
; C( s6 Q6 b7 R& l
% |% f* Q. ?& N6 {
重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。
& t+ C9 v: W6 B
]! a( e6 ^& I# s; v' w
我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。
. ^( v: A$ {! i3 Q& o
) m& \2 F" V9 Q; e6 e y
这样免杀的效果不错。。。
0 M) U% A* z5 r L1 _" u
5 F& j# Q" P( _) `
关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。
9 T3 H# Z3 ^, B$ t" i+ g+ p- k" X
$ Z# R1 g3 D1 M/ C# h8 [
什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。
% |8 C) A. D3 A5 R6 @ @& h4 T7 ]" k
0 x; w% }1 d" [9 k
大家多多了解下, 免杀不是很难的事。。
7 ?$ ^5 H; O$ P6 G8 x! O+ X
' b( q% r- H& l% M
此文仅写给新手朋友一看。。老鸟飘过。。
作者:
lijinquan
时间:
2009-2-16 20:33
认真学习一下
作者:
残爱
时间:
2009-2-16 22:27
认真学习了....辛苦辛苦!
作者:
yyw258520
时间:
2009-2-16 22:39
是得多看看汇编了~~呵呵~谢谢了
作者:
柔肠寸断
时间:
2009-2-16 22:44
好文章,不错,总结不错
作者:
paomo86
时间:
2009-2-17 11:06
受益了`:handshake
作者:
1335csy
时间:
2009-2-17 11:40
谢谢这么多人来捧我帖子 没有想到啊 呵呵
作者:
hilarylove
时间:
2009-2-17 12:16
还有我小希呢,1335,多谢你一直以来的帮忙啊。
作者:
柔肠寸断
时间:
2009-2-17 15:05
1335加油哦
作者:
小糊涂虫
时间:
2009-2-18 15:23
这些貌似是基础的东西....
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/)
Powered by Discuz! 7.2
