|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
原创作者:1335csy [3.A.S.T]7 D1 }+ c' ]4 }7 W; ?0 f% r( z
2 `7 _7 K: [: R" k信息来源:3.A.S.T网络安全团队 ( www.3ast.com.cn )) z& Q; y+ @7 b4 _
. Q* D/ ] ~1 p# _8 J1 P来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。
4 y0 N( c) P6 ^8 E" e! U( H; F) o# F7 W& E3 V( I# M
免杀也弄了有点时间了。。现在分享下我的经验。. W9 m2 O4 f2 w* \8 s
$ g0 k+ ?: A2 C9 k: X. Z首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)
0 y4 l& c3 U; E) w0 S
3 J+ M7 z7 j6 t* {4 I+ T4 \5 r5 |) y修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。
& e5 h7 d% `' N; }
: R8 D# l, O) p; E4 ?- O7 r第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,
* o, U' O9 _% b K+ {+ k' Z* Z: O) P( s' i/ H
再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。
! [ A. W3 ?- Q+ D
) e2 y$ p! [) d0 [- {/ B很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,
# \/ H9 O; Y, H9 ~! e4 _, h" ~3 x: X+ z- k# V
其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。
/ b2 l3 c/ L: `, }( d
' G3 O% ^0 H) f顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。
2 e' H% a- a0 p9 @& h" B& x$ V! S; ]/ b. e7 U
对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。
, G! N0 y6 i: k% q9 ^( u8 \/ O. k4 t2 F$ h: _: A, h: T/ U
对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,
2 t' z; V4 T# m7 ?8 Z3 o: V7 B0 u# Y5 i! R
对了,花指令对瑞星不是很管用。
0 H# R- _& @" X! m% X/ H" H" Y0 {6 _5 Z
- \# e& e) ]/ e' ]$ H% {& }6 B
做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。. X. h. }1 b4 |
3 p2 {) E- ^8 _ d- K
我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。% Q: B) z/ V3 y2 K z( O
: c, @# b* ^; w3 r
对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。7 W. c; J0 U! E
: }" M9 n" t+ u S
输入表的免杀是非常重要的一课。
- N! i! a0 Z9 ~6 p. R+ {& A3 w5 |5 J' g
常见方法 有移位法。上下互换法。以及重建输入表法。
4 z/ w1 n+ q9 B/ {8 Z6 \' M) `- }3 I$ o& A& G5 s
移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。
7 \, r7 K! A: I2 l/ C% t
# K3 J6 n6 W3 @4 }$ X, S上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。
; X, y3 S: n; @: Z$ |7 c
6 V4 T R. e. [. x6 T重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。8 t- J8 p/ P3 ^5 O7 H
# X4 L9 P. u: L4 {
我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。; u0 H2 l- F7 L0 ~5 S: ~
$ `; h! S# I$ v4 [. P* H
这样免杀的效果不错。。。
1 ^4 |4 L2 U) ^9 N2 o
* q/ [1 _. H+ k7 Z关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。
3 H( k" Z: Z% l/ l5 V8 |) U- g2 [' [4 L. M$ D* P' K" `6 R
什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。
6 ]% W5 Z( z6 k5 q: P, W& P& d# \5 P3 h5 T, a- n
大家多多了解下, 免杀不是很难的事。。! L1 L& H- p2 _
" }7 k- T9 \# L! ^6 {9 X% U此文仅写给新手朋友一看。。老鸟飘过。。 |
-
1
评分人数
-
|
发表于 2009-2-16 20:17
| 
发表于 2009-2-16 22:44
| 
