[原创文章] 个人免杀经验分享 经验, 分享

1335csy

原创作者：1335csy [3.A.S.T]
3 L, {; y5 C8 F9 {7 W, y$ V1 H$ E/ a* W: W' ~/ l
信息来源：3.A.S.T网络安全团队  （ www.3ast.com.cn  ）4 ^: u! V$ H, o- }3 H# [# E
2 t5 K7 m# p/ a: t
来了3AST很久了  也没有写上什么有点价值的帖子，今天这个帖子算是抛砖引玉吧。。* L: t) c# C" m) N5 e( s
# l. o" O# F1 K, s- Q: b
免杀也弄了有点时间了。。现在分享下我的经验。0 B3 o5 p* t, y6 V' B

3 e) T/ P/ A: s5 a! Z' {9 r* v首先建议新手朋友要学会定位表面特征码和内存特征码（定位方法有细微差别）" Q$ y- T9 E3 D7 \: u1 j* Q

+ o+ a$ x4 F% X, x. V3 y修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。0 I% O5 N, R2 U5 h- m
7 \" A8 M" ~3 A& q% Y
第二个是要学会写自己的花指令，不要以为免杀怎么难，多么难，只要你会一点基本的汇编，0 C9 }. C2 U3 {

6 h' F3 @4 i6 z/ e# H* Q1 |7 o再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。
# j; o4 {* D5 y9 A6 h
* [7 A) j/ o8 d% l, Z很多新手朋友曾经都这么问，什么是花指令？所谓花指令，就是一些，没有用的指令，
8 g( ]% S  h3 I
" d2 h! F" g7 J8 ]' l其作用是干扰杀软的查杀，写花指令最重要的是维持堆栈的平衡，很简单。
& I6 b9 H- i* E+ c/ m3 f! ?: i; e$ e" e1 ]+ M$ y; I
顺便说下，花指令对卡巴有特效，但是并不意味着，一个花指令就可以把卡巴斯基搞定。
: c' s/ S: @" ~1 T; O  t7 O! k5 h: d8 `9 X; o! x! y- U* x
对付卡巴斯基， 需要多种方法结合， 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。  O* P. D3 O6 ?0 j- f0 Z

  K- a2 a' \% m8 ~1 X对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候，修改特征码对付他效果好，
' m( S7 Y- Z+ C/ Z4 J( \1 J) |2 _6 y9 x0 N$ Y( e
对了，花指令对瑞星不是很管用。
* E9 i7 `  n* a# q) j# y% q' j/ O3 v8 L- E1 X1 f

; x8 k7 M- U6 g做过NOD32免杀的朋友都知道，NOD32的特征码经常定位在输入表上。
2 [! R8 q+ z& y4 b5 w, o8 Z$ V8 `* M1 j5 t3 K8 ~5 S+ b7 ^& M5 N
我们怎么看一个杀软定位特征码是在输入表上呢？很简单  你把定位出来的特征码放在C32ASM里面看。
" m0 @$ r$ D! O
! v8 s8 L+ ^. A; O对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面  这样的多半是输入表了。" n9 x: J; Z: R/ g) x
  r% I# {" F3 y5 O
输入表的免杀是非常重要的一课。
$ m. T8 z1 K: n* h( |% n, z5 K* f9 J7 ]7 y; d4 R! E
常见方法 有移位法。上下互换法。以及重建输入表法。1 }! u4 `9 A" c1 r3 n# z, K
8 r. h" Y6 F: S2 e4 y' v
移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。
8 D# {6 Y% B! Q) Q8 a$ |) n! B1 p# b8 c
上下互换法则是再找一个和我们特征码那一个同样字节的字符串  互换一下。 但不是通常都有用。0 W! b: B0 m" x1 L4 b/ K
) T7 |/ I$ ~0 E7 g
重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。
$ x2 i$ y7 M8 {8 c5 q9 W& s" O9 N& c- T: A
我们利用ImportREC来帮我们的木马重建一个新的输入表  把旧的输入表删除。。4 C- Y0 L5 b5 R6 k( p2 n
% k2 p) `, z& r4 Q" v- ~3 f6 p
这样免杀的效果不错。。。
$ D2 L' M% \  J8 \( W* i: M! n' ^0 j% s! ?/ ~# g) s
关于免杀也就这些了，这也是个老生常谈的话题了。说来说去无非也就那几个方法。* Y$ Q9 B1 e8 m; Z0 ^

; H5 t: z: S1 \# V' X+ Q* ^& M& v什么入口点加1啊，区段加花啊 。。修改区段名字啊 。。。# P/ M3 j" `* j9 i: v* Y0 n* ]7 o
0 X. d, r" L: s  u8 |
大家多多了解下，  免杀不是很难的事。。
" I; z: k& O0 S. c% }' t
% N% s' `+ ~" o! _* T6 o此文仅写给新手朋友一看。。老鸟飘过。。

1335csy

谢谢这么多人来捧我帖子  没有想到啊 呵呵