|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
原创作者:1335csy [3.A.S.T]
! A( L# A2 c2 K! C- ^8 g/ [/ f
1 s, E; R* s8 ?9 l$ C信息来源:3.A.S.T网络安全团队 ( www.3ast.com.cn )
. j7 R- D$ U& d- \4 `! p5 X$ k6 R
来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。
; E% g( b$ `( Y+ d* G* T) y. }9 q; L9 [9 T- ~
免杀也弄了有点时间了。。现在分享下我的经验。% R2 H- P* k# m8 s$ `1 D
+ Q, Q9 {4 F) ^7 `# o) h3 \, _. _* E
首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)
$ B! Q3 H) T9 \2 P& L0 t% l. D. l8 c: K! f( M" B
修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。% {% a+ I2 {* t$ n3 P. \' ^8 c! s; I
) n) Z2 h7 d" M/ n" A% y" J
第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,
U6 i9 Z; Z, I7 m2 T) {! F: r' ^( u- i( n* B8 H$ i6 S7 j
再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。
! r" ~% m. z; P0 ^/ T- M/ E0 F' }- j5 y# q* d8 ?& q% q
很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,$ r$ {" X% x" H$ B' x( y! `( D k8 e
5 y% ]9 W0 e" Y& f其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。
9 h/ V; g- j6 x$ t! {, n9 [1 M( {9 F2 L
0 ~4 [8 }9 `9 Q9 G% I0 s2 G顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。
+ u0 G1 I, {& M' [) ~/ d- T5 n l. C
对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。6 V) n( j1 d2 [
1 s7 G! n6 |0 M$ ]& M% _2 i对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,
4 ^: M n& h% D3 i1 X5 G- U1 m) }% J9 k7 \
对了,花指令对瑞星不是很管用。2 C- _( M6 J- c. F4 x6 Y
/ ?6 [0 Y- n8 B$ o
" Y7 W! r! w" S9 F) \. f, |
做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。
/ N8 u$ X9 S' F. z* r
( C+ v4 Z6 D+ M' l" X4 w我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。2 w: H% a4 G F& u3 _4 m' |
' P9 R1 G; v3 I1 ^对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。
; h' o( x4 q% t o, w- H" E$ q& I% Q) u
输入表的免杀是非常重要的一课。
1 c2 N- T/ V H3 D( [( l" X+ y/ f/ Z p! Y
常见方法 有移位法。上下互换法。以及重建输入表法。3 H. f4 ~* h1 d$ t; C
; K# Q! o# G$ H. h9 b
移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。
5 p& p1 s1 x9 J! ^
- I6 t$ d3 `4 w# k上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。
! S9 c$ R% w3 L F9 v4 O. T1 h" q' p$ W' J% U8 Q
重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。
4 h! x& t V8 g1 Z: h% k. }! J# D. B. x5 z! J
我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。
* Z/ B; N/ D- c- v
3 o7 _9 S, f9 Q* L3 m这样免杀的效果不错。。。
, V% { H5 I O4 I* T1 _; B) A8 I3 v% k& K! G
关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。
: ^0 i1 ^. d- e6 H8 k$ _
9 i( i3 D) c# g6 C1 w' _9 }6 N什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。
! \- j2 D) \# s/ {+ \& Y9 [
4 B% b1 U$ Q3 K: K大家多多了解下, 免杀不是很难的事。。
* ^0 L) Y, ~4 h+ B
; K9 n: V M, d" ?( I此文仅写给新手朋友一看。。老鸟飘过。。 |
-
1
评分人数
-
|
发表于 2009-2-16 20:17
| 
发表于 2009-2-16 22:44
| 
