标题:
[原创文章]
个人免杀经验分享
[打印本页]
作者:
1335csy
时间:
2009-2-16 20:17
标题:
个人免杀经验分享
原创作者:1335csy [3.A.S.T]
. h# ^2 t" Y( h5 A. B5 w$ R
3 v5 ^2 P; C) n1 |; R/ T
信息来源:3.A.S.T网络安全团队 (
www.3ast.com.cn
)
9 g7 z w2 v9 o: R, o" M6 n8 S
1 Q j7 E: m, C! ~% C9 [5 P5 Q6 b; u
来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。
3 K. U7 d9 D3 b4 A1 x; ~/ t6 r/ Q
4 U. `1 L: G* F, ?6 p. l& w
免杀也弄了有点时间了。。现在分享下我的经验。
$ O+ p6 n" u- x* i
! u2 D1 S. G+ l4 Z8 w) |& f
首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)
" M9 K! G" z- T/ I* F+ e3 l8 S) u
! F" Y7 L7 l6 `) U9 \9 V5 G) |
修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。
0 s' ^* p' \' c8 T$ R& h1 C7 e
4 Q; G% ~) q5 f( v4 _) H2 s+ J4 s
第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,
: t+ W& U" ?8 T" ^$ Y7 a+ e9 A
' A. \4 a$ b8 ~, ]# e
再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。
' K E& p) R, Y' ~1 u
, c" V8 v' D* C3 ?' L7 m* p' P, L
很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,
6 T- k3 i0 h% f& u( c5 ?& z" j
$ t$ z! e$ P U
其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。
) I# J3 Z; I' u3 A( x+ q9 P
6 I) O" r% X4 b; [* E; _) p: _. S. {
顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。
B5 B/ _/ n' x( Y v
3 q" _4 @! L, f1 u; q! n
对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。
' f" n6 A9 b7 a/ |1 i5 ^ H
[3 s6 m' c/ [3 ?+ l
对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,
, k5 E2 X6 u$ t( J6 Y. P6 j5 i
* U8 Y* u8 n1 r5 {
对了,花指令对瑞星不是很管用。
7 J1 ~4 v: \+ d
1 X" Z. j& l- `+ _; t5 c; _
" _8 Z, \- ~+ ?
做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。
( O! @- o u% v3 _
- E6 g0 y; Z! J, s" E
我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。
8 p9 h, W n! b2 x
+ y& L5 J; r8 X* ]" p3 Q$ B
对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。
" W% \1 v" Y- m+ y
7 h( \; Z2 ~: f1 k
输入表的免杀是非常重要的一课。
, R; w. D+ t- o; u; k' ?
$ b; Z) X0 c6 K i8 H8 X
常见方法 有移位法。上下互换法。以及重建输入表法。
. [/ h: r! i5 D7 [
' e8 `" Y2 m2 o& y3 l
移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。
! w' u1 x, J4 T: ~( w! \
$ k. E7 ? q, M: Y
上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。
' d, C4 H5 ?% }( X8 Y e
- A, v+ F( Z% r ?0 N
重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。
( L. G* B0 q' ?- K
2 g8 K$ m' j" |8 ^7 N6 O) @
我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。
0 c* t5 N9 x E: h. y( r6 A G/ V H
0 U# _; B) C; h
这样免杀的效果不错。。。
4 ~7 V/ O5 w0 e. o v
5 O5 K1 s* C1 ^8 ^
关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。
2 @( F f. {8 h3 T0 [
# Q9 }+ O* `& ~+ W5 m l
什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。
; a3 a0 e3 P) G/ c# w/ ~; ? O1 L' }
6 p& ]/ f9 J6 P6 d
大家多多了解下, 免杀不是很难的事。。
$ V9 L# i. c: w
1 J P' C: w: Z' j+ ~
此文仅写给新手朋友一看。。老鸟飘过。。
作者:
lijinquan
时间:
2009-2-16 20:33
认真学习一下
作者:
残爱
时间:
2009-2-16 22:27
认真学习了....辛苦辛苦!
作者:
yyw258520
时间:
2009-2-16 22:39
是得多看看汇编了~~呵呵~谢谢了
作者:
柔肠寸断
时间:
2009-2-16 22:44
好文章,不错,总结不错
作者:
paomo86
时间:
2009-2-17 11:06
受益了`:handshake
作者:
1335csy
时间:
2009-2-17 11:40
谢谢这么多人来捧我帖子 没有想到啊 呵呵
作者:
hilarylove
时间:
2009-2-17 12:16
还有我小希呢,1335,多谢你一直以来的帮忙啊。
作者:
柔肠寸断
时间:
2009-2-17 15:05
1335加油哦
作者:
小糊涂虫
时间:
2009-2-18 15:23
这些貌似是基础的东西....
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/)
Powered by Discuz! 7.2
