0 M; x4 n ^6 b& m: k很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令, * {$ M1 L! j+ \- M0 T. w; ~, b. C. {( r6 X% [% t
其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。' P6 f, v& c9 J" M, i
1 n0 X u p! ^$ n: Z; \$ p
顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。 K# C. U& v- L
/ r$ d! y1 p+ q w3 p o* F对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。, p L$ j1 Z4 r `
6 A- f8 a2 G n( b* x' p0 u对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好," m/ t+ w$ g5 O0 ~7 z
' T/ d" |, f1 }- P& p& h对了,花指令对瑞星不是很管用。) a4 H8 Q' ] z6 d
9 J( E6 w5 k5 Z: W! q# E# G. E0 y
: Y1 h ~# v: ]% [做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。 ) u; ^. i8 ]- R m- `2 R4 \' A8 M, @& @* R( J. R
我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。 7 R6 G1 s0 x0 ]7 d1 L; f; E( b% R+ W8 L: a! s4 m2 ^
对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。 , ~! `: J# `! Y & A8 u. N0 F4 K1 F! v o) t输入表的免杀是非常重要的一课。 5 L/ t. [$ }! l5 C4 k+ o+ V& j+ t s6 L
常见方法 有移位法。上下互换法。以及重建输入表法。 . u9 V- o% _, n9 C 2 c: S$ s4 q2 S. w% P; u4 K移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。 9 V" x5 b# t& ]. f/ N5 c, d 2 ]; y# f, u8 E' u' A v1 }上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。; i- c! S2 F2 P) y
# @( d, i& a9 b |' K0 U8 M
重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。 - h- z* b# M1 _8 D$ A) C$ j 3 y6 s+ V2 O1 U- d我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。 5 L: K; R$ X" ?4 f " N4 W% g8 _0 F这样免杀的效果不错。。。 3 W2 Z1 v5 |/ x a- d4 g* v- P! S0 R+ V- h% m; Z0 f0 @2 q
关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。 . s3 v& b: T# z" X6 i1 a5 d * W5 \$ H: }$ j2 g; t. c什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。 + \( o: l) L- X& ~ s5 n r: t$ n1 Z5 V; u
大家多多了解下, 免杀不是很难的事。。5 s2 G+ Z# N# i5 Y' X
% v: w9 j8 U6 b" j9 Z: x
此文仅写给新手朋友一看。。老鸟飘过。。作者: lijinquan 时间: 2009-2-16 20:33
