Board logo

标题: [原创文章] 个人免杀经验分享 [打印本页]

作者: 1335csy    时间: 2009-2-16 20:17     标题: 个人免杀经验分享

原创作者:1335csy [3.A.S.T]
' c: |5 V) o: t4 O0 X

1 N4 l& r0 u4 ^! r7 w, r5 p信息来源:3.A.S.T网络安全团队  (
www.3ast.com.cn  )
& t% [' \6 U  Y- Q( M5 b7 v; T; }0 |8 o$ g4 c8 C9 e
来了3AST很久了  也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。' u; O9 @( f* L" q. @) B1 S8 F; A

  p9 R/ {" f7 H! s! S# `免杀也弄了有点时间了。。现在分享下我的经验。
' Q6 j  |6 B4 |* @2 W
8 U% a! f' T8 G4 c4 }首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)
% v. O$ C7 `+ B# M7 K$ ]8 e9 ~$ d1 V" j6 E9 X4 ^4 L6 C7 K
修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。
. N$ a2 a7 \5 d+ F
5 K. f, X  B8 m( ~9 Z+ I! N第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,
2 j6 j, b2 Y! v8 q, d% W1 N1 |* @" f& g1 j: ^  s
再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。, R5 |: \/ h6 {8 s- i
- i# E2 e. V% v' k  \, `3 {
很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,1 Y; y) \; Z0 ]# t, P
. S  r- M6 \" r" a
其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。  ^/ d: s4 _8 i* t9 ?' |
$ u3 |+ Q+ F0 R5 n; Q
顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。' o. {$ Q0 N$ u
6 a) |7 S8 j6 ^* d6 l1 J
对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。) _4 t" _7 H1 P  d
, Q. Y+ `' {0 z, w$ @" j
对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,
. ^% i. e7 `0 h! p  n& Z1 [( @
! K- u) H! c  Q' [2 X2 S对了,花指令对瑞星不是很管用。" L. p' [0 e; {; d8 m& M' p  D

* o" I, _; a9 |( e0 G* F9 R+ U9 h6 `) Y. h
做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。' |1 a4 S: h5 b3 n" \4 A
7 @) }0 M) q9 F% e2 O% j- m
我们怎么看一个杀软定位特征码是在输入表上呢?很简单  你把定位出来的特征码放在C32ASM里面看。8 k& o( e  D& r/ o
) n4 W  }$ _3 S- W, R+ q0 u1 b
对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面  这样的多半是输入表了。8 V2 Q$ o+ a6 d' p4 \
- Y3 N  x7 @) z# w, |
输入表的免杀是非常重要的一课。 ; E. S1 k0 d/ j; T
4 U/ V- X, j* E) f2 G: q
常见方法 有移位法。上下互换法。以及重建输入表法。
6 L" q7 z2 g* x  ~# }) O" p
9 ^% ?  Q% m9 u; \  M, k移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。
3 ~8 J7 W# A4 P& o. w' B7 `5 \, u; v, a. v) |8 b# I  _
上下互换法则是再找一个和我们特征码那一个同样字节的字符串  互换一下。 但不是通常都有用。
* R0 m6 K, y, o/ t; {% e' X' d
6 u# N: q- H: Q& D# T* Z* [5 y5 S重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。, |! L7 Q0 d5 m! t5 G

  U+ i  X7 @9 X我们利用ImportREC来帮我们的木马重建一个新的输入表  把旧的输入表删除。。9 [) U. E$ @  b) A  t9 [( B* x% `

6 b9 ?- B* U! T: j! t* Y这样免杀的效果不错。。。% J! E3 g9 a. K/ x! b3 Q7 S7 W
1 c% x1 B. m# a3 p
关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。( U( G: D# Q. S# _- K$ o- p" B9 ]

+ L- e4 s) H; E什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。
& P  T3 g7 e7 v
7 }% P# F. n, U0 s  s5 V& v* P' m大家多多了解下,  免杀不是很难的事。。& {' H- f) T9 b) B

: q* [8 I$ g, q" r- o) K- W9 g此文仅写给新手朋友一看。。老鸟飘过。。
作者: lijinquan    时间: 2009-2-16 20:33

认真学习一下
作者: 残爱    时间: 2009-2-16 22:27

认真学习了....辛苦辛苦!
作者: yyw258520    时间: 2009-2-16 22:39

是得多看看汇编了~~呵呵~谢谢了
作者: 柔肠寸断    时间: 2009-2-16 22:44

好文章,不错,总结不错
作者: paomo86    时间: 2009-2-17 11:06

受益了`:handshake
作者: 1335csy    时间: 2009-2-17 11:40

谢谢这么多人来捧我帖子  没有想到啊 呵呵
作者: hilarylove    时间: 2009-2-17 12:16

还有我小希呢,1335,多谢你一直以来的帮忙啊。
作者: 柔肠寸断    时间: 2009-2-17 15:05

1335加油哦
作者: 小糊涂虫    时间: 2009-2-18 15:23

这些貌似是基础的东西....




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/) Powered by Discuz! 7.2