标题:
[原创文章]
个人免杀经验分享
[打印本页]
作者:
1335csy
时间:
2009-2-16 20:17
标题:
个人免杀经验分享
原创作者:1335csy [3.A.S.T]
- w3 y. Z7 f6 {& _8 k
/ N8 W( c q6 r% }% Z2 i' c
信息来源:3.A.S.T网络安全团队 (
www.3ast.com.cn
)
) b F8 B- ]5 v- x3 u8 I
3 f8 C- M1 [9 V1 M9 K
来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。
9 R9 d- b9 W* \* u/ {
/ G, k V; C' F) }' g1 y/ t
免杀也弄了有点时间了。。现在分享下我的经验。
7 S# g& i1 ~: p$ ^6 u
* f# b8 i5 S7 h4 k5 J
首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)
2 Q$ ]+ G# R+ v* V, E4 ^8 S. z- }
" j2 t9 ?; A) U, X
修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。
( |, R6 ]% {+ v5 I3 p, j
" Q% m8 M4 k( G2 t
第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,
9 g0 H, v* ]9 U% {4 x& a/ D f& J
9 o0 }7 V2 L! Z3 t% }
再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。
4 T+ P: B0 K# h; Y2 Y
* A5 _7 L8 z$ K6 B ~
很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,
' G3 R7 U6 e0 F7 b+ Y% V# t
; S2 m( H U1 F! [7 o. {
其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。
) e2 z5 Z* f* R+ h5 t3 b7 s/ L9 S! ?
3 d# P2 L4 q2 p) }' f% S9 g
顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。
$ P9 E$ S0 q/ o2 y3 ?
5 M0 E* E% O! o# x5 e+ y
对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。
, g5 A9 I# l* y5 W9 _ b
: R! H: ^. r; a" v& C. b& b
对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,
9 Y0 R" Q' D Y& [% a
1 g4 U5 c3 A. {3 }/ q9 Y3 Y1 Q
对了,花指令对瑞星不是很管用。
\. t3 Y9 ^" h+ {! _
3 \* ^; W# w8 l: _
+ g5 i1 b& I9 m+ F5 [; v8 x
做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。
6 C/ U0 K( @; G, ]* |6 v
% V$ H, R6 }$ a, e; L0 l0 X
我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。
- W' I: \( w8 G
* j0 A# L* S. X: E2 K" ]6 n8 `
对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。
) N& B8 n- h+ h9 j( `) L4 a8 R2 ~
2 ]0 L! z0 n( P' `3 b6 U
输入表的免杀是非常重要的一课。
0 U/ q8 }& B+ L+ \
0 g2 K3 S. s: T8 _) r) l1 a
常见方法 有移位法。上下互换法。以及重建输入表法。
' E* \" N+ H2 e2 N
4 F! N3 R& e* }0 o+ c6 U
移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。
' ?" g. C+ f: B# m0 L; W
( V R* u0 N T" E/ h( k, i
上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。
# A' b0 M6 |1 N6 S
$ c! b8 j* D5 M0 Y/ G
重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。
6 K- f9 @' [$ L- r( e7 h
% ?3 @$ w" O; W" ?) q O# _0 f" F
我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。
7 l/ d: b. v9 M' R* _
6 e# M+ L$ s% N
这样免杀的效果不错。。。
# a# n: L: l; p1 v6 H% _: h; s
/ E; Q/ e/ t( j# `# d: ]) B
关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。
; |( H9 g+ _2 l$ _. ]6 T" E, d
6 w0 Q* n6 J7 O
什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。
8 f- g' _( W$ J% b4 ?2 E+ ^( B
0 m1 R. v# v( h, Q, }! e
大家多多了解下, 免杀不是很难的事。。
/ b5 K A7 r. ?1 q) ~
8 g# |2 P& v9 X4 |2 O; {
此文仅写给新手朋友一看。。老鸟飘过。。
作者:
lijinquan
时间:
2009-2-16 20:33
认真学习一下
作者:
残爱
时间:
2009-2-16 22:27
认真学习了....辛苦辛苦!
作者:
yyw258520
时间:
2009-2-16 22:39
是得多看看汇编了~~呵呵~谢谢了
作者:
柔肠寸断
时间:
2009-2-16 22:44
好文章,不错,总结不错
作者:
paomo86
时间:
2009-2-17 11:06
受益了`:handshake
作者:
1335csy
时间:
2009-2-17 11:40
谢谢这么多人来捧我帖子 没有想到啊 呵呵
作者:
hilarylove
时间:
2009-2-17 12:16
还有我小希呢,1335,多谢你一直以来的帮忙啊。
作者:
柔肠寸断
时间:
2009-2-17 15:05
1335加油哦
作者:
小糊涂虫
时间:
2009-2-18 15:23
这些貌似是基础的东西....
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/)
Powered by Discuz! 7.2
