标题:
[原创文章]
个人免杀经验分享
[打印本页]
作者:
1335csy
时间:
2009-2-16 20:17
标题:
个人免杀经验分享
原创作者:1335csy [3.A.S.T]
' c: |5 V) o: t4 O0 X
1 N4 l& r0 u4 ^! r7 w, r5 p
信息来源:3.A.S.T网络安全团队 (
www.3ast.com.cn
)
& t% [' \6 U Y- Q( M5 b
7 v; T; }0 |8 o$ g4 c8 C9 e
来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。
' u; O9 @( f* L" q. @) B1 S8 F; A
p9 R/ {" f7 H! s! S# `
免杀也弄了有点时间了。。现在分享下我的经验。
' Q6 j |6 B4 |* @2 W
8 U% a! f' T8 G4 c4 }
首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)
% v. O$ C7 `+ B# M7 K
$ ]8 e9 ~$ d1 V" j6 E9 X4 ^4 L6 C7 K
修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。
. N$ a2 a7 \5 d+ F
5 K. f, X B8 m( ~9 Z+ I! N
第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,
2 j6 j, b2 Y! v8 q, d% W
1 N1 |* @" f& g1 j: ^ s
再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。
, R5 |: \/ h6 {8 s- i
- i# E2 e. V% v' k \, `3 {
很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,
1 Y; y) \; Z0 ]# t, P
. S r- M6 \" r" a
其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。
^/ d: s4 _8 i* t9 ?' |
$ u3 |+ Q+ F0 R5 n; Q
顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。
' o. {$ Q0 N$ u
6 a) |7 S8 j6 ^* d6 l1 J
对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。
) _4 t" _7 H1 P d
, Q. Y+ `' {0 z, w$ @" j
对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,
. ^% i. e7 `0 h! p n& Z1 [( @
! K- u) H! c Q' [2 X2 S
对了,花指令对瑞星不是很管用。
" L. p' [0 e; {; d8 m& M' p D
* o" I, _; a9 |( e0 G
* F9 R+ U9 h6 `) Y. h
做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。
' |1 a4 S: h5 b3 n" \4 A
7 @) }0 M) q9 F% e2 O% j- m
我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。
8 k& o( e D& r/ o
) n4 W }$ _3 S- W, R+ q0 u1 b
对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。
8 V2 Q$ o+ a6 d' p4 \
- Y3 N x7 @) z# w, |
输入表的免杀是非常重要的一课。
; E. S1 k0 d/ j; T
4 U/ V- X, j* E) f2 G: q
常见方法 有移位法。上下互换法。以及重建输入表法。
6 L" q7 z2 g* x ~# }) O" p
9 ^% ? Q% m9 u; \ M, k
移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。
3 ~8 J7 W# A4 P& o. w' B7 `
5 \, u; v, a. v) |8 b# I _
上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。
* R0 m6 K, y, o/ t; {% e' X' d
6 u# N: q- H: Q& D# T* Z* [5 y5 S
重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。
, |! L7 Q0 d5 m! t5 G
U+ i X7 @9 X
我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。
9 [) U. E$ @ b) A t9 [( B* x% `
6 b9 ?- B* U! T: j! t* Y
这样免杀的效果不错。。。
% J! E3 g9 a. K/ x! b3 Q7 S7 W
1 c% x1 B. m# a3 p
关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。
( U( G: D# Q. S# _- K$ o- p" B9 ]
+ L- e4 s) H; E
什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。
& P T3 g7 e7 v
7 }% P# F. n, U0 s s5 V& v* P' m
大家多多了解下, 免杀不是很难的事。。
& {' H- f) T9 b) B
: q* [8 I$ g, q" r- o) K- W9 g
此文仅写给新手朋友一看。。老鸟飘过。。
作者:
lijinquan
时间:
2009-2-16 20:33
认真学习一下
作者:
残爱
时间:
2009-2-16 22:27
认真学习了....辛苦辛苦!
作者:
yyw258520
时间:
2009-2-16 22:39
是得多看看汇编了~~呵呵~谢谢了
作者:
柔肠寸断
时间:
2009-2-16 22:44
好文章,不错,总结不错
作者:
paomo86
时间:
2009-2-17 11:06
受益了`:handshake
作者:
1335csy
时间:
2009-2-17 11:40
谢谢这么多人来捧我帖子 没有想到啊 呵呵
作者:
hilarylove
时间:
2009-2-17 12:16
还有我小希呢,1335,多谢你一直以来的帮忙啊。
作者:
柔肠寸断
时间:
2009-2-17 15:05
1335加油哦
作者:
小糊涂虫
时间:
2009-2-18 15:23
这些貌似是基础的东西....
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/)
Powered by Discuz! 7.2