标题:
[原创文章]
个人免杀经验分享
[打印本页]
作者:
1335csy
时间:
2009-2-16 20:17
标题:
个人免杀经验分享
原创作者:1335csy [3.A.S.T]
2 m' r( a& e8 w8 R- C7 k; c4 |
) d3 {8 e9 u% o7 G" N. S. j
信息来源:3.A.S.T网络安全团队 (
www.3ast.com.cn
)
7 @, ^. V5 T$ }3 n- E0 h6 [
6 c" k) k/ z6 R; T" q
来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。
7 K( ^4 b8 _( K6 d
+ a) F# Q4 ~* w/ I2 i
免杀也弄了有点时间了。。现在分享下我的经验。
1 Q( e0 j! _6 R
& [" d0 Y/ K# H! O9 Y9 i
首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)
3 \: m1 l5 E+ j4 {. ^
. \+ u1 p* x; c' J% T8 n; U
修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。
7 E( J# K4 T- [
5 @# h7 [/ h: Z7 E& q. x
第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,
7 U t* R5 k. X. X7 M/ X& ?
) Y2 U" W. q; n) m2 S6 V" y
再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。
B7 p; h- V; ?4 |0 n' J5 ?# g
- m2 \6 o2 U' T% R
很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,
" W% X0 ^; p4 d* V( ~; O6 m; |; u
, C' P+ X6 O2 E4 r6 [
其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。
) L. Z8 q2 A! ?5 L, X5 a6 D$ ?
/ t' U/ z% m$ ~) S7 b4 Q! U* n& S# I
顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。
/ k- n2 f/ B. J' F" D
1 |8 o$ N. B) v$ Q6 F
对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。
/ I9 z N' t! S& b% N* q
- g) E3 `- r6 z/ N' J, w& u
对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,
: C$ H; u7 c, ^, I' N: L' B
8 l& ]& q- ~+ q
对了,花指令对瑞星不是很管用。
5 M4 k4 z6 m: g/ _9 x! v
9 p V8 o! e9 C/ A
7 `. E% T7 X2 S* v- N2 [
做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。
% P# c) A w V7 ?! `
& N) r( K) m" Z3 T/ I8 Z" E; B
我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。
6 c9 X2 W; V. l8 F, T7 D0 u# W3 A
- t+ w' u R8 O- [ X
对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。
: J& h: L; G* M$ J) }' R. P; s8 `+ s
& R3 v0 b) S8 r8 j
输入表的免杀是非常重要的一课。
2 x7 n( p# |! \& Z/ k- J
: K8 l4 m- |( [: w% c+ V
常见方法 有移位法。上下互换法。以及重建输入表法。
! ~- H0 L; _: Q: u" E
1 Q' \/ w% M, t; C$ j) J
移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。
9 O( Y" x$ g8 v+ X. k @
$ ?9 `) N J) X1 l& Z
上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。
; T# V [. [9 o6 l
6 m8 Q1 f$ N5 C% ^* R
重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。
$ i2 n; d/ Y4 o5 o
9 q8 B3 N) ?( g4 ?1 U
我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。
/ b M2 [( L$ K8 t
k0 ^( F3 J* {, q* T$ }! A4 _* _: o
这样免杀的效果不错。。。
* p$ q. u3 ` g* z/ G* J/ v6 i
: v# y( a: {. }$ Y
关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。
* Z9 u4 [! ~5 V* i
1 q( B# G9 L/ X" ?/ ~6 |& i- L1 ^$ e
什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。
4 L: E% K# C9 Z/ @9 Z1 ^
: \" b4 K- m/ u% u% M
大家多多了解下, 免杀不是很难的事。。
0 j$ n# Z2 i" U' A
7 E) w$ B* N! Q6 S- l- L
此文仅写给新手朋友一看。。老鸟飘过。。
作者:
lijinquan
时间:
2009-2-16 20:33
认真学习一下
作者:
残爱
时间:
2009-2-16 22:27
认真学习了....辛苦辛苦!
作者:
yyw258520
时间:
2009-2-16 22:39
是得多看看汇编了~~呵呵~谢谢了
作者:
柔肠寸断
时间:
2009-2-16 22:44
好文章,不错,总结不错
作者:
paomo86
时间:
2009-2-17 11:06
受益了`:handshake
作者:
1335csy
时间:
2009-2-17 11:40
谢谢这么多人来捧我帖子 没有想到啊 呵呵
作者:
hilarylove
时间:
2009-2-17 12:16
还有我小希呢,1335,多谢你一直以来的帮忙啊。
作者:
柔肠寸断
时间:
2009-2-17 15:05
1335加油哦
作者:
小糊涂虫
时间:
2009-2-18 15:23
这些貌似是基础的东西....
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/)
Powered by Discuz! 7.2