|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
原创作者:1335csy [3.A.S.T]
6 A# y' w# C0 _# R8 D) K- z
) @: ~% s" C6 X* ~% {0 j信息来源:3.A.S.T网络安全团队 ( www.3ast.com.cn )7 J/ \% O: L8 P, u
* y* G- Q: X# l" b) b$ R来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。. |7 g+ R g9 O v% I- K5 }% Y
8 Z0 V+ S7 g& K% ^$ R# ^7 J
免杀也弄了有点时间了。。现在分享下我的经验。8 I" I! d; n7 V) O9 e; x- [
$ H9 l5 o5 c$ t# ]
首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)
/ x W! }$ T5 c4 N& v3 a
+ ~ n% V- p/ c; o4 d! i1 r修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。, E$ Y+ S( ~) s$ ^2 E+ c
9 O7 X c# z7 \# {7 l3 R
第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,
8 g V4 l% f( L$ N5 V
, G/ T' J8 a# f# W再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。
! D3 B3 [* T% U r% [; w# r/ C+ Q0 @' F1 f! r3 e& Z
很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,
3 k/ `1 s! H$ n+ T! I8 m. I& y3 k5 S J5 I) Q3 ~& P
其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。 n& X" ^, v# X( c! N, }# v, {
- m+ j. }! E; M, l顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。
* B6 N$ K/ f% _! q5 V/ y8 r
8 @7 T9 L9 ]: l9 T: B对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。
" a& v& P- f- X6 e/ b3 J+ u, X4 _: F5 \! R
对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,5 D+ \$ o8 f9 l7 ?% F
& W' c) U% y" L1 a6 a
对了,花指令对瑞星不是很管用。
+ q+ ?0 C# p0 c' q5 L8 j8 O0 u! [& y
: X4 [! B& @3 }6 e- t% L做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。
: d& p; J- ?1 }
, ^: y) T: [8 V' t% K% H我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。
( C, K; w! p% Q" ^7 q- i: z! d" j6 M" b/ {
对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。
' X8 \6 F# e# `
; I0 t: R `9 g% a# P% K. `5 Y输入表的免杀是非常重要的一课。
( z" y, `1 C0 P. @4 E2 [3 v/ v
; ~# n) r% _1 y) r5 M, ~, y: q# E常见方法 有移位法。上下互换法。以及重建输入表法。
; ^, D! l) ^7 F; H
) ]9 T& ]: i0 e7 `4 k V! D% V移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。% C; f A8 h+ e* ?, l
: M! i& I P. F+ T
上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。
. J$ }5 G9 A: y& m- @- C W9 A% l9 b% I' B
重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。. Z" Y8 y$ L9 u/ U+ w! c
( U! S6 [" v9 N/ S; Y我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。5 v0 p) P" Z. t+ ^/ ?# Y: X! x
. a- {$ @; S2 ^0 k& o* Z) z( f
这样免杀的效果不错。。。6 q/ O0 b# w n3 G( X) `# M
, c, O; T+ Z- _
关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。
$ f( `& x$ S4 r: {: Q4 a% _4 d% E" t: E- u, N9 j, N' O8 z
什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。1 D8 X- V& O: |& g( @& r% N
% G' `# w* B- F, b3 S6 x; G3 G
大家多多了解下, 免杀不是很难的事。。
' l& l# s0 p4 V% Y7 E8 i: \- k
; i: h& l1 ?) ]/ V/ l" }& v, \/ G此文仅写给新手朋友一看。。老鸟飘过。。 |
-
1
评分人数
-
|
发表于 2009-2-16 20:17
| 
发表于 2009-2-16 22:44
| 
