|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
原创作者:1335csy [3.A.S.T]
' d; C& ^: k4 U+ r
& Q$ W( E7 c, `. ?- j( z1 L信息来源:3.A.S.T网络安全团队 ( www.3ast.com.cn )( ^4 j! O2 P- S, R- H2 a( q3 G% a
9 k' _9 T/ {5 I$ o$ ]( w& M0 @来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。
+ Q- Y( Y* Z7 B( {% I3 _3 M, E$ T2 O0 a6 z: m! x3 f5 X, a" p
免杀也弄了有点时间了。。现在分享下我的经验。
) h5 \! h4 g, i* S" D' G& R+ L+ k$ ]$ V0 G; _, _5 p
首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)
# B* h6 Q6 T3 B, J! m( l4 |6 E8 {% o1 e$ }7 l
修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。
8 ?. |0 `$ |4 k
, [2 n0 Z1 A' S. b" i+ ~第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,
/ M/ S4 u: p+ A) i8 n# W$ ]8 O5 l; I8 ^6 |( m& s
再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。
" `- U/ |7 F: w( R
! Q% z% p O" n+ R很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,: b9 b- h k5 z5 ]8 a. J4 _ g- b
4 }% G/ x, H5 W% e1 L其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。
7 Z3 p9 M5 b# [( P; l3 m9 t/ _) f2 W! `, L
顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。! [% C4 D8 F: k7 t" J
$ O9 l' v D6 u1 _, w% l/ S: |
对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。
" K+ y4 S. V3 J9 P$ b2 ~2 u' I
' D; Y5 ^' m, a- }8 c$ P( ?对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,
: o) h3 ?9 M; k- D; `8 y) K; _& H9 P: M# ~: @8 p
对了,花指令对瑞星不是很管用。" w" B6 \+ y% V, g/ ~
4 u& M! a' W# A9 @
8 |& K0 {( Z( `做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。1 s$ W9 i* L1 ?. ]2 Q* ?* u
6 G# G- [ T v" O& c
我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。
8 y0 w( r' k- l. m E- k" h6 z! c" Q
对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。/ {9 B% h6 F$ B$ w6 D, _, t* C
0 X* a- o B( ?) B9 k: R输入表的免杀是非常重要的一课。
9 ?. R" G% i" I' c7 k
: a7 b7 i6 T& K) d3 t. y7 l常见方法 有移位法。上下互换法。以及重建输入表法。
6 T/ b3 L+ I5 Q0 A) g2 _
/ Z* }. @- w/ x4 ^2 L移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。
% V4 B8 L1 N- j/ v
! ?0 B2 Q& z9 @6 H/ f' ^. ]* G上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。6 j9 C3 D5 k; f: @ H* W, G
9 `0 h- \: v0 y5 c4 V1 v4 N! ~
重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。# }; H- `; B6 g# M, B" h
) P# G& c5 P$ g: n5 }我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。
- K$ A9 h% h. F8 f
; Y+ j* C4 {8 m3 W& Z9 ^" l! o这样免杀的效果不错。。。
7 t: m1 a1 }3 T
9 |% I$ p: \: ^: t关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。& Y) {( _- N0 b& u! f; i5 r/ t
; N, ]3 i; ^. R7 h. Z$ {什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。' _. l f' X- ]3 U+ U3 S" {
# _, a+ O1 _* k( |- G' i M大家多多了解下, 免杀不是很难的事。。" Y4 ]0 R) x1 }# x- U$ U% U$ E6 p, n( n
3 J! a, q, _. J+ v2 j
此文仅写给新手朋友一看。。老鸟飘过。。 |
-
1
评分人数
-
|
发表于 2009-2-16 20:17
| 
发表于 2009-2-16 22:44
| 
