标题:
[原创文章]
个人免杀经验分享
[打印本页]
作者:
1335csy
时间:
2009-2-16 20:17
标题:
个人免杀经验分享
原创作者:1335csy [3.A.S.T]
6 ]; Q( Z5 M" E" ?2 n* K7 k8 ~; \
: J5 U3 M6 L1 V
信息来源:3.A.S.T网络安全团队 (
www.3ast.com.cn
)
; W3 U9 E f/ V% K
0 s' o1 z7 b' _* H4 ^5 c, d
来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。
9 t$ d$ E* X9 J o3 i
P. w* E M: L. i5 l
免杀也弄了有点时间了。。现在分享下我的经验。
4 y& \+ O0 g9 B! c
! `2 M( o$ ^% B& Z7 b$ a3 ]0 e+ r
首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)
3 O! E* d# k8 Z& o B4 S: M
* b0 J& D- X" ]+ _
修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。
# e3 k$ w6 q2 G( e
- k. q9 J+ k5 d. R$ q1 S& X! o
第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,
$ p4 ]* l' Y3 r( J$ d4 ?
$ M" |3 P% H/ Z: C% N H- {! M
再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。
4 f1 Z# _5 D* @0 c9 J K2 X$ g2 I
x5 M, E- w/ `2 P/ W
很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,
1 u, O5 R' [! a( E
0 e# p2 k& a; W# W4 q: S. p
其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。
5 o" U5 _1 a! X n& J- B
# y/ D* B4 ]. W+ s- u* b# P
顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。
( {# W7 m! Z# {8 y0 O# B
" }) h% @) ` n7 v9 r( W9 C+ c, l
对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。
! J% \$ e: A7 Y) J
" w5 q* o4 t- N& d' D
对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,
% h0 {6 Y1 B4 @/ w6 R( }
* }2 M7 i9 R' h. ^0 {
对了,花指令对瑞星不是很管用。
4 [3 y" {! i7 [0 S& h3 ]
2 _2 V/ @0 p5 S& U( T& _
. G. u6 B6 P8 v) I* O! B
做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。
6 X1 O/ B! \! ^# n
2 d+ l7 ^& l: x( O+ J: e0 ^
我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。
$ ?# Y4 g$ y% x `$ x: k8 g
! L- i i0 Z4 e" P5 j7 n1 c
对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。
1 M5 P# s6 F3 P) H
/ [& c" X$ s5 j6 \7 a# R5 l' Q
输入表的免杀是非常重要的一课。
# @( H. [3 u' Q7 a
! ]/ m/ S# e+ h
常见方法 有移位法。上下互换法。以及重建输入表法。
1 b% D+ u5 T7 ^* O4 _
% L; w& o1 u2 p8 D0 C' k
移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。
1 S: V5 q9 G: ]( o1 t
* }# u7 i0 U# c4 V/ t( x
上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。
" e! s' E1 t; @5 p/ W+ W
/ {+ r: o& O+ Q9 b' O
重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。
8 H/ a9 H/ R, T
# q, U' |1 i& i" B8 E. O
我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。
' e3 S; }2 q2 X* q; Y7 S
2 \7 h# [, q) w9 ]! y
这样免杀的效果不错。。。
& ?6 S% k% S( {% ] j: N J
6 D% P! ~; s7 S7 a) m/ Z
关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。
* ~ j9 U( h: K7 ~ U- L
6 I/ B' u+ W+ Z' D+ F/ K
什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。
9 t! J; D5 p# G8 M L ~
: f: e/ H+ V6 l- {8 T
大家多多了解下, 免杀不是很难的事。。
7 l0 z4 M! J* ^ i( t6 J0 \, g! T
2 ]. W$ A! _- e6 k, O
此文仅写给新手朋友一看。。老鸟飘过。。
作者:
lijinquan
时间:
2009-2-16 20:33
认真学习一下
作者:
残爱
时间:
2009-2-16 22:27
认真学习了....辛苦辛苦!
作者:
yyw258520
时间:
2009-2-16 22:39
是得多看看汇编了~~呵呵~谢谢了
作者:
柔肠寸断
时间:
2009-2-16 22:44
好文章,不错,总结不错
作者:
paomo86
时间:
2009-2-17 11:06
受益了`:handshake
作者:
1335csy
时间:
2009-2-17 11:40
谢谢这么多人来捧我帖子 没有想到啊 呵呵
作者:
hilarylove
时间:
2009-2-17 12:16
还有我小希呢,1335,多谢你一直以来的帮忙啊。
作者:
柔肠寸断
时间:
2009-2-17 15:05
1335加油哦
作者:
小糊涂虫
时间:
2009-2-18 15:23
这些貌似是基础的东西....
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/)
Powered by Discuz! 7.2
