标题:
[原创文章]
个人免杀经验分享
[打印本页]
作者:
1335csy
时间:
2009-2-16 20:17
标题:
个人免杀经验分享
原创作者:1335csy [3.A.S.T]
8 @2 _+ s) `9 a/ L8 S \
s, r- A; {0 \. T
信息来源:3.A.S.T网络安全团队 (
www.3ast.com.cn
)
# L0 M( o3 Z( [$ j
5 ~; }2 o8 g$ a$ a7 i
来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。
2 q# I1 ?: H6 J* Q/ t" h8 M
2 R& _! s) W0 K! a; R% A! T* j
免杀也弄了有点时间了。。现在分享下我的经验。
' V/ _, x Z1 ~6 E% U& D
3 `* q x# Z+ F- `
首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)
& a4 j0 B: f- _# P1 B. D
# N* n% T+ h G9 z0 ^
修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。
+ V7 Y1 a: D* R% `/ x x
5 |7 ~% a" p0 n0 r6 {
第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,
0 g1 v0 E5 f. _% j
% M. P2 M- |+ w& m: f9 k) V
再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。
! |! z0 A- F% q# L7 a
! O( ^3 M) P3 [
很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,
5 h9 d4 d5 v7 x2 f
+ v" E8 M+ K \9 U6 x
其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。
! X0 A% Q# o- F3 x
* J$ d4 l1 N: R! S# p
顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。
' T/ E1 u" i" E9 R/ ]
3 o/ `& K5 g" t
对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。
8 v/ q$ p# M1 u0 c/ U
: @- `+ g P4 W$ w) O
对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,
/ L/ d a& b; F+ N: a# x
: m8 U5 b1 |% N7 X! R
对了,花指令对瑞星不是很管用。
3 T* ~- V# X$ \" C: D' m
) T8 R. A# l. C
' |& m E+ n$ `2 p2 l
做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。
# [* C3 `1 x& J: \# x7 m, V9 L
$ U1 E/ l& H$ C( | f
我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。
# q t; n- I% T2 p B
; G. t2 z+ J, F$ ~- p
对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。
' v0 W7 S' l- Q: [4 G
5 C7 H& ~1 a X7 G8 l/ k2 b: f
输入表的免杀是非常重要的一课。
1 H9 i* ?/ C2 m4 p7 f
7 k( ?" E6 @+ {, ?/ G3 g
常见方法 有移位法。上下互换法。以及重建输入表法。
/ p4 z! ?! q8 g: N
/ r! R9 G5 `, n+ a; m
移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。
3 C+ e' X- t* G b6 t
! {# H/ |- J& |# s
上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。
4 \' b k! J7 k& x5 L
+ z. J2 a1 V# Y
重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。
0 O0 x* F7 Q0 ?" f% Y( C* p S/ F9 l
/ @1 N, x! c9 M2 R5 N6 B
我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。
; f4 @6 `( i4 u
9 v2 @. i$ K% v4 c1 t6 G
这样免杀的效果不错。。。
- O1 ` i* W' M/ N, L' A& J
8 ~1 Q& R, t( D4 b- w
关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。
) U. j7 V( p' h( h3 g
$ Y1 ?+ l) ~/ b8 M! q7 W
什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。
; C: Z. h' S5 I5 w
* t4 y0 i1 E. @) `3 Q* a( }( `
大家多多了解下, 免杀不是很难的事。。
4 b4 J8 m( E9 e6 Q" P9 j, e0 g7 M
5 ~' j' a; X+ B" ]
此文仅写给新手朋友一看。。老鸟飘过。。
作者:
lijinquan
时间:
2009-2-16 20:33
认真学习一下
作者:
残爱
时间:
2009-2-16 22:27
认真学习了....辛苦辛苦!
作者:
yyw258520
时间:
2009-2-16 22:39
是得多看看汇编了~~呵呵~谢谢了
作者:
柔肠寸断
时间:
2009-2-16 22:44
好文章,不错,总结不错
作者:
paomo86
时间:
2009-2-17 11:06
受益了`:handshake
作者:
1335csy
时间:
2009-2-17 11:40
谢谢这么多人来捧我帖子 没有想到啊 呵呵
作者:
hilarylove
时间:
2009-2-17 12:16
还有我小希呢,1335,多谢你一直以来的帮忙啊。
作者:
柔肠寸断
时间:
2009-2-17 15:05
1335加油哦
作者:
小糊涂虫
时间:
2009-2-18 15:23
这些貌似是基础的东西....
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/)
Powered by Discuz! 7.2
