|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
原创作者:1335csy [3.A.S.T]# ?# R% N+ P1 I* T
! e, Z0 C. Z h; N$ |
信息来源:3.A.S.T网络安全团队 ( www.3ast.com.cn )
. K% }* p( ~+ ?5 q# F
7 n# L) b- X: I% @* }$ V/ l6 `4 A来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。& P% }- m2 [: ~4 s
, a& G, n v+ w8 ~. R" r ]免杀也弄了有点时间了。。现在分享下我的经验。' y) ?, P* O) V' q
$ R. C; p7 `. f9 q& R% [& W. e首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)$ f; r# v" s- u
, U3 K! H& H6 g+ a. \; Q& H
修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。: [8 I. K/ i+ U6 M
1 M: `2 n6 n3 D/ b, [' Y
第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,
9 g) H, m4 s x6 J
; w! ^' f$ B" @; J+ j再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。
/ B! d% o0 P6 R/ ?( B$ b- J' U' x+ J0 F
很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,6 t) H; e1 a$ f0 r) N. m
5 T! j. ]% R, v) ^" U! @ J' C
其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。
% o- M5 O* \* e
8 u* \: I4 h; U7 z顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。4 j( W" F( D* G) {4 S R
; D+ d1 ^1 F; e, G: ^- q对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。% G$ C) d' w3 T& C% l w
" D- v! _; s* L( K对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,
8 T/ H# T' X# _* z$ G* ~0 f$ ^8 d3 h* Y2 N. }4 a8 B
对了,花指令对瑞星不是很管用。
( |) E1 S. W9 X$ f/ f
0 [ M& p [ j9 Y$ v
0 Y0 n8 B4 T& p3 v. S+ L做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。
# t' h. V. t# A
( l( G' | l; }1 v5 q2 Y& B我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。8 P% p0 C9 L7 }/ y& z
/ x+ d( k. O9 @2 Y6 N7 S对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。
: N6 i# J1 ~4 _1 s* F8 X
8 x. m, u. L9 |3 R" x& [0 H' g输入表的免杀是非常重要的一课。
1 B: [5 G; K" [( O8 W: v) V! \- D* t7 \9 r- ?. f; S, O
常见方法 有移位法。上下互换法。以及重建输入表法。
8 n( h4 Y9 h9 J3 x5 f( e
) f6 F5 J0 `8 Z: O# ]$ x( N移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。
/ [4 q3 [* _2 V2 Z: J/ V/ \5 f- q, }1 m0 f
上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。0 _$ I1 R* O! a! k% M! k/ y) f
8 o+ a% Q/ P3 _1 Q1 S1 b& ~' v* o6 k
重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。
3 D) p9 ]% l1 V) D
* b1 H' ?) X g) z/ a我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。2 u: G! {+ [& Y" w
$ T( s8 i0 u& Q( g7 r3 r2 D
这样免杀的效果不错。。。/ s, z3 \7 k( U# C+ f( }
( z$ W0 j2 w, Y+ V- Z' N" W a
关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。
5 x! y: O) @% I* q" D* s
; I: n+ Y7 l+ M: W* j& M* a什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。
# A% i" @) f9 I4 H, {7 g7 N
5 Q z2 R7 o7 h' q1 B- u8 }大家多多了解下, 免杀不是很难的事。。! ?0 a8 w6 }/ ^' M3 S
- d- Q: o* w( O此文仅写给新手朋友一看。。老鸟飘过。。 |
-
1
评分人数
-
|
发表于 2009-2-16 20:17
| 
