标题:
[原创文章]
个人免杀经验分享
[打印本页]
作者:
1335csy
时间:
2009-2-16 20:17
标题:
个人免杀经验分享
原创作者:1335csy [3.A.S.T]
- w" U; e; X- T: T' X7 u
5 y/ p, Y1 p b/ G
信息来源:3.A.S.T网络安全团队 (
www.3ast.com.cn
)
Y8 D" L5 Q' f+ r. i& ~
( R' `3 E# r, E- f
来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。
' n. i( |% h6 ]" ^8 \7 i3 R
+ z Y8 Z5 D$ ~( D$ _6 x3 i0 Y
免杀也弄了有点时间了。。现在分享下我的经验。
, y! p& N! D1 E9 \" I. q
; R; k6 w. Y g3 g0 @# P
首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)
+ u2 Q: ?) Z% ` N0 `6 L3 z
$ |0 G5 `: n0 m. I# D% _- F
修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。
5 ?/ _3 X: T: B& T2 T8 T+ ?+ l: @
0 g; V, ^ N0 X
第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,
& w7 a+ u7 n: t7 V2 A2 ^
7 T1 T2 h6 \- s% h1 F% ^; W+ g+ |
再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。
& F: r0 u$ h# m! k V+ v
2 {. }+ w) H t6 B
很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,
% Q$ p1 n! }( V3 w" L ~( E% O; a
# G b: f/ y5 U ]9 _. \
其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。
3 K! W9 G- e/ g
: ^) J# E8 w$ ~
顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。
# v" q; q0 e& ?" }/ ^
. E) o/ v; Z; \/ O }$ u' V# I
对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。
3 P4 T3 \# K/ q- m& g
4 M, Y- r& E' v! f! ^
对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,
: U' `3 n5 T+ ~4 @$ @
7 F" |8 @" n; Y1 O5 t) f& c4 c# J% E
对了,花指令对瑞星不是很管用。
" {+ t& V, ]( q8 I% {% g
2 K: ?+ y6 @) N5 r! B( e
6 J3 P' @- D# t. r9 [# ?4 ]
做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。
8 v$ }2 x$ L, s G+ X. V
+ m0 L9 Z- H6 a8 L
我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。
7 v O4 c6 Z5 y# {! I
9 F7 k- D2 q) S. o
对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。
+ V5 |) {5 H9 L( o4 ^5 X5 v
7 e7 C, P9 X+ h8 R
输入表的免杀是非常重要的一课。
' H6 f0 y& x$ x; p0 ?& a# B7 @
4 U! S9 c6 ]/ O5 _& [
常见方法 有移位法。上下互换法。以及重建输入表法。
# K( W. L& V' K9 x; G6 P
]3 L& `+ U& c: c4 N% h
移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。
' S9 ]$ M7 ]) \8 M. N
$ @* a4 s/ J B# l. L% a5 y' Z
上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。
1 w- b/ w. R' N1 ~' ?7 Z3 s
0 ~% @7 k- j( m% C4 r2 K
重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。
0 b" D/ [. E9 I3 f" H1 S$ m
# g+ }* w6 S& H
我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。
3 l) H& t/ }0 p$ B# `0 a% u
; C8 f2 y+ s3 s% q+ ]5 C( h4 x
这样免杀的效果不错。。。
/ w* U# j( v- t! N- I* d
' z! @: E# _- H# s, h' C, Y
关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。
3 x, @+ i# E+ w% @
6 Z: {5 Z3 k; q7 R$ ]$ \; k1 Y
什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。
R8 X1 r4 U4 @& n% A. A
2 n% t7 j6 S5 L
大家多多了解下, 免杀不是很难的事。。
6 @ s2 F. _+ m) u$ V. w
, l1 N) }) y- q/ K1 p
此文仅写给新手朋友一看。。老鸟飘过。。
作者:
lijinquan
时间:
2009-2-16 20:33
认真学习一下
作者:
残爱
时间:
2009-2-16 22:27
认真学习了....辛苦辛苦!
作者:
yyw258520
时间:
2009-2-16 22:39
是得多看看汇编了~~呵呵~谢谢了
作者:
柔肠寸断
时间:
2009-2-16 22:44
好文章,不错,总结不错
作者:
paomo86
时间:
2009-2-17 11:06
受益了`:handshake
作者:
1335csy
时间:
2009-2-17 11:40
谢谢这么多人来捧我帖子 没有想到啊 呵呵
作者:
hilarylove
时间:
2009-2-17 12:16
还有我小希呢,1335,多谢你一直以来的帮忙啊。
作者:
柔肠寸断
时间:
2009-2-17 15:05
1335加油哦
作者:
小糊涂虫
时间:
2009-2-18 15:23
这些貌似是基础的东西....
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/)
Powered by Discuz! 7.2