返回列表 发帖

[原创文章] 个人免杀经验分享

原创作者:1335csy [3.A.S.T]; W. d3 I" W% V) \$ P
7 p1 U2 r: l& z2 z( U5 n+ x. G
信息来源:3.A.S.T网络安全团队  (
www.3ast.com.cn  )
2 E+ r* P3 f  j, }0 i
7 b5 ]- P' v' E来了3AST很久了  也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。
8 Y, w7 n$ O2 f: Q. O* O" {: X4 ^  ~7 K! M+ g/ t# b; C( F
免杀也弄了有点时间了。。现在分享下我的经验。
9 E/ @& b. w+ T3 y, O
2 S7 m9 t3 h  T) k7 I首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)4 ^5 R% \/ E8 g! P
: g0 z( L2 S7 d1 d; Y+ w* k
修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。
5 `( e/ O( Y) {7 Q- g
' H( O/ }9 Q3 A2 x. O/ l第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,
8 F9 j4 L" c) G! l* n6 a5 y
7 u% }1 B! E8 l6 w再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。
( v' h5 O# v' F6 s$ R, j0 a3 u2 k8 P8 H3 \% Z0 g+ ]$ k5 D
很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,
2 c7 |1 o: {0 @0 a) c' Q" w) v* y0 x' `5 c. m. x& E9 W
其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。( _$ t5 Y$ B5 x1 r0 P6 b0 p
% P0 _2 t5 A; w- }$ s# ^7 J) A
顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。
% t4 e) x) w, ~  ~$ z; p
. u* b2 w5 l; d& I2 f7 N% G对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。
1 a3 \  f( i$ M( c/ v( D$ Y$ _* o5 i, \& q" Q* c
对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,* ?$ |* j9 `$ V
! g6 m. [/ x5 }( A3 w" d
对了,花指令对瑞星不是很管用。
3 m% N' X; D6 Z6 g$ u) N$ g9 a) E( w  ?
7 Y) q; c. \. J. a
做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。
  Y! w3 C( E9 G9 a* ~+ W0 w7 H3 u+ e& H9 n
我们怎么看一个杀软定位特征码是在输入表上呢?很简单  你把定位出来的特征码放在C32ASM里面看。# ^' o3 `5 c9 x9 @5 w- M  d% O3 b
2 S0 |: _" v  P+ T) U9 N) `
对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面  这样的多半是输入表了。! ]& [4 G/ k! U- M& ~

0 t8 w3 ?* R# d7 g输入表的免杀是非常重要的一课。
0 {8 Q/ Y2 E2 @" C6 X  Y( n0 x6 L4 s$ D) O4 b1 N9 |
常见方法 有移位法。上下互换法。以及重建输入表法。( ~1 O( [4 v) D& P# ?; [

. H* |, e+ d: ], S" y移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。
& L9 y0 b" \, u8 }9 t5 `' G% o0 f% _5 t7 c- C9 p1 N* l+ v
上下互换法则是再找一个和我们特征码那一个同样字节的字符串  互换一下。 但不是通常都有用。; k/ E6 \  V; d1 w. K6 i. F# \

2 `) k2 e- d" |. Y* ?重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。' U( S9 t0 k  t! O* `
1 ?$ R3 K* Y9 H; B" k) A
我们利用ImportREC来帮我们的木马重建一个新的输入表  把旧的输入表删除。。
$ ^3 m& N' u" |  c6 a# ?/ U9 K7 A- Y( s/ m* j- S) V
这样免杀的效果不错。。。
. ?+ o1 q5 l1 n5 Q3 n4 _2 _4 Y2 O3 T% A/ U0 r' O
关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。" r7 ^* x  }! s& K
( X8 f- `3 C2 @( N
什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。
8 Q; o8 h# P3 [/ G" s0 }  t/ C: q! f  O& L8 c) F7 D# {& W
大家多多了解下,  免杀不是很难的事。。5 _% ]. D5 ~3 \- ^3 y
4 c& f7 N% O# @) X, [# v
此文仅写给新手朋友一看。。老鸟飘过。。
1

评分人数

认真学习一下

TOP

认真学习了....辛苦辛苦!

TOP

是得多看看汇编了~~呵呵~谢谢了

TOP

好文章,不错,总结不错
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰

于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

TOP

受益了`:handshake
頽廢+無聊+现实=我的态度

TOP

谢谢这么多人来捧我帖子  没有想到啊 呵呵

TOP

还有我小希呢,1335,多谢你一直以来的帮忙啊。
花前月下,不如花钱“日”下~~~

TOP

1335加油哦

TOP

这些貌似是基础的东西....

TOP

返回列表