Board logo

标题: 黑客谈免杀 简单分析特征码修改技术 [打印本页]
作者: NBAJOE    时间: 2008-7-16 17:09     标题: 黑客谈免杀 简单分析特征码修改技术

黑客谈免杀 简单分析特征码修改技术
如果你想学习免杀技术:
  1.基础的汇编语言
  2.修改工具(不指那些傻瓜式软件)。如:
  OllyDbg . PEditor. C32ASM . MYCCL复合特征码定位器。UE .OC. 资源编辑器等。还有一些查壳 脱壳软件(如:PEID RL脱壳机等) . 以下是常用的几种免杀方法及工具:
  一、要使一个木马免杀
  首先要准备一个不加壳的木马,这点非常重要,否则 免杀操作就不能进行下去。 然后我们要木马的内存免杀,从上面分析可以看出,目前的内存查杀,只有瑞星最强,其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀,要进行内存特征码的定位和修改,才能内存免杀。
  二、对符其它的杀毒软件
  比如江民,金山,诺顿,卡巴。我们可以采用下面的方法,或这些方面的组合使用。
  1>.入口点加1免杀法。
  2>.变化入口地址免杀法
  3>.加花指令法免杀法
  4>.加壳或加伪装壳免杀法。
  5>.打乱壳的头文件免杀法。
  6>.修改文件特征码免杀法。
  第三部分:免杀技术实例演示部分
  一、入口点加1免杀法:
  1.用到工具:PEditor
  2.特点:非常简单实用,但有时还会被卡巴查杀。
  3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可。
  二、变化入口地址免杀法:
  1.用到工具:OllyDbg,PEditor
  2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳。
  3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后又跳回到入口点的下面第三句继续执行。最后用PEditor把入口点改成零区域的地址。
  三、加花指令法免杀法:
  1.用到工具:OllyDbg,PEditor
  2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀。
  3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令的着地址。
  四、加壳或加伪装壳免杀法:
  1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等。
  2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀。
  3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的免杀效果更佳。

五、打乱壳的头文件或壳中加花免杀法:
  1.用到工具:秘密行动 ,UPX加壳工具。
  2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好。
  3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果。

  六、修改文件特征码免杀法:
  1.用到工具:特征码定位器,OllyDbg
  2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码。但免杀效果好。
  3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程。
  第四部分:快速定位与修改瑞星内存特征码
  一、瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符串作为病毒特征码,这样对我们的定位和修改带来了方便。
  二定位与修改要点:
  1>.首先用特征码定位器大致定位出瑞星内存特征码位置
  2>.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是字符串,用0替换后再用内存查杀进行查杀。直到找到内存特征码后,只要把字符串的大小写互换就能达到内存免杀效果。
  第五部分:木马免杀综合方案
  修改内存特征码——>1>入口点加1免杀法——> 1>加压缩壳——>1>再加壳或多重加壳
  2>变化入口地址免杀法 2>加成僻壳 2>加壳的伪装。
  3>加花指令法免杀法 3>打乱壳的头文件
  4>修改文件特征码免杀法
  注:这个方案可以任意组合各种不同的免杀方案。并达到各种不同的免杀效果。
  第六部分:免杀方案实例演示部分
  1.完全免杀方案一:
  内存特征码修改 + 加UPX壳 + 秘密行动工具打乱UPX壳的头文件。
  2.完全免杀方案二:
  内存特征码修改 + 加压缩壳 + 加壳的伪装 )
  3.完全免杀方案三:
  GD内存特征码修改 + 修改各种杀毒软件的文件特征码 + 加压缩壳
  4.完全免杀方案四:
  内存特征码修改 + 加花指令 + 加压壳
  5.完全变态免杀方案五:
  内存特征码修改 + 加花指令 + 入口点加1 + 加压缩壳UPX + 打乱壳的头文件
  还有其它免杀方案可根据第五部分任意组合

查看详细资料引用 报告 回复 TOP

coolkey
一年级
作者: hycmx    时间: 2008-7-16 17:09

作者: 东莞仔2    时间: 2008-7-16 17:09

谁说没人顶?
我看了。看了就要顶。。。。。。。。。。。
作者: 皮皮    时间: 2008-7-16 17:09

比较详细,不错,有些苦必须自己去尝,有些事必须自己去扛..


查看详细资料引用 报告 回复 TOP

M-xuan
一年级
作者: FOREVER    时间: 2008-7-16 17:09

蒽...我认为这是个很好的文章..的确该顶....就算说我灌水也顶起来


只是菜鸟都没那么深的技术..不好看懂的
作者: 黑夜飚车    时间: 2008-7-16 17:09

ls  非常有道理 没技术看的不是很懂
作者: tae    时间: 2008-7-16 17:09

恩,好,收下了………………
谢谢分享,不过,我好像在合订本上看过了……………………我很菜,但是我很用心!!
作者: aisheishei    时间: 2008-7-16 17:09

打算这方面研究,拿别人的壳加下 ,没用挖·~~~
作者: 吧伦闭挎伦势    时间: 2008-7-16 17:09


经验难得啊,初来的菜鸟虽知道一些原理,没有老鸟的经验,会浪费很多力气时间。
作者: 小英    时间: 2008-7-16 17:09


顶^
作者: (、愛伱ˉ呔深√    时间: 2008-7-23 19:00

顶下```     原理就是怎么多``   但操作就不简单了~~:'( :'(
作者: hupoboy    时间: 2008-8-9 01:21

很经典哦! 支持了!
作者: 流淚╮鮭鮭    时间: 2008-8-15 12:50

我喜欢。。。。免杀我不会! 学习学习!
作者: 963852    时间: 2008-8-23 19:58     标题: 学习一下`````````````````

文章写得很不错,顶:D :D
作者: Rapam    时间: 2008-8-24 21:31

有点难度:lol :lol
作者: ahyinbo    时间: 2008-10-31 10:57

好,难得的一篇好文章,细深入还要学习不少的东西,特别是汇编
作者: 网络黑崽    时间: 2008-11-8 02:00

免杀我想学啊!!!顶!!



欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/) Powered by Discuz! 7.2