[原创文章] 个人免杀经验分享

经验, 分享

原创作者：1335csy [3.A.S.T]' f7 m" j5 H& f* D- U

2 x# d  W/ \& e7 M6 n& K信息来源：3.A.S.T网络安全团队  （ www.3ast.com.cn  ）$ h# ]7 y) \1 f$ R  z* W, o
5 X  Z  P; y2 Z' X# ]* ]. J
来了3AST很久了  也没有写上什么有点价值的帖子，今天这个帖子算是抛砖引玉吧。。0 b1 C; q0 r* @
& |$ n" W0 h' q% r3 F0 ?
免杀也弄了有点时间了。。现在分享下我的经验。" {, H& s9 M% s

首先建议新手朋友要学会定位表面特征码和内存特征码（定位方法有细微差别）0 b: m. x% [5 m+ p5 f5 r
2 Q7 Z+ k0 {7 u, e* E/ N& s6 X( J
修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。8 U; z) u* e; c# C3 g
- J9 n/ b! S, W5 @2 b
第二个是要学会写自己的花指令，不要以为免杀怎么难，多么难，只要你会一点基本的汇编，$ Y5 u/ H" B8 v2 `2 {
& U$ N& X' L( n0 g& |) d6 K
再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。
( [" h- I+ g- L) ~4 L/ W3 K3 ~/ k
很多新手朋友曾经都这么问，什么是花指令？所谓花指令，就是一些，没有用的指令，
' Y0 }0 k3 Y- I9 w5 m( f$ ^& G
其作用是干扰杀软的查杀，写花指令最重要的是维持堆栈的平衡，很简单。

顺便说下，花指令对卡巴有特效，但是并不意味着，一个花指令就可以把卡巴斯基搞定。1 [# k3 E0 H2 m) \9 ?% i$ w* P
5 j5 c/ ]; b2 N5 g4 d: C; J5 H
对付卡巴斯基，需要多种方法结合，壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。
  M# l" q4 h1 O! b* O
对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候，修改特征码对付他效果好，

对了，花指令对瑞星不是很管用。
: J  |+ v4 c( h$ v0 t" e! X- f* s% I  n* }
  V. P) o  V2 R. g% s
做过NOD32免杀的朋友都知道，NOD32的特征码经常定位在输入表上。! H" s6 h! |+ T! U7 M( b

我们怎么看一个杀软定位特征码是在输入表上呢？很简单  你把定位出来的特征码放在C32ASM里面看。9 n! M0 j1 G; i/ w/ L4 N
& a/ x% T+ d' r
对应的ANSI字符是在一些什么DLL后面或者一大连串的字母后面  这样的多半是输入表了。& R8 q- y! H$ t- a" s* Q) }
' a% K0 q4 m$ C; ^8 j; {4 P# a
输入表的免杀是非常重要的一课。 / [: P/ p9 v# D4 S6 L
6 E- Q) q7 B- V. \! D3 ?' l: N
常见方法有移位法。上下互换法。以及重建输入表法。
5 F" F- {% m# [  ^* z
移位法就是把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。

上下互换法则是再找一个和我们特征码那一个同样字节的字符串  互换一下。但不是通常都有用。; c# }+ Z. r! y, u* M
# Y# I5 S  }# |, ^6 h$ o7 H9 u
重建输入表则是免杀输入表效果最好的了。一般的木马都只有一个输入表。

我们利用ImportREC来帮我们的木马重建一个新的输入表  把旧的输入表删除。。
! P- R. z$ x. U( v6 n0 [/ [) n
这样免杀的效果不错。。。3 t( F6 |3 X8 E# P# o9 B+ A

关于免杀也就这些了，这也是个老生常谈的话题了。说来说去无非也就那几个方法。8 X% m0 [5 y& [6 U' M3 ~  }9 s9 g: V
5 h! Z: E1 o* R
什么入口点加1啊，区段加花啊。。修改区段名字啊。。。# ^# r" v' s- \' T$ r
: j4 G# [/ ]5 }3 j* h5 Q. S: r
大家多多了解下，  免杀不是很难的事。。, @, ^/ P# B! G
9 O4 h8 ]: _9 C$ }9 R. H% S
此文仅写给新手朋友一看。。老鸟飘过。。

1 评分人数