[原创文章] 个人免杀经验分享

经验, 分享

原创作者：1335csy [3.A.S.T]( e' J: h, V6 W* t# f2 g

9 N# s) H4 t) P8 K' O5 f9 o信息来源：3.A.S.T网络安全团队  （ www.3ast.com.cn  ）

来了3AST很久了  也没有写上什么有点价值的帖子，今天这个帖子算是抛砖引玉吧。。0 J& Q% ~9 u+ u& B* t
) g# F3 k% k4 H8 g1 x. P
免杀也弄了有点时间了。。现在分享下我的经验。
. R- d* u+ I) w4 g2 ]
首先建议新手朋友要学会定位表面特征码和内存特征码（定位方法有细微差别）

修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。/ Q0 H3 c% E' U- E

第二个是要学会写自己的花指令，不要以为免杀怎么难，多么难，只要你会一点基本的汇编，8 B5 T# x) b. s4 Z3 g8 d) N' b9 P

再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。6 ]6 [  E9 P( e. e
! M1 D) e& m2 J( v
很多新手朋友曾经都这么问，什么是花指令？所谓花指令，就是一些，没有用的指令，. |3 h8 N( c' J) g7 n) I

其作用是干扰杀软的查杀，写花指令最重要的是维持堆栈的平衡，很简单。
9 j/ V& |9 F% c
顺便说下，花指令对卡巴有特效，但是并不意味着，一个花指令就可以把卡巴斯基搞定。/ k$ y# F# A- r& j& b! @7 o

对付卡巴斯基，需要多种方法结合，壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。

对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候，修改特征码对付他效果好，( z1 e& ?1 G2 r* e

对了，花指令对瑞星不是很管用。4 @8 }, E. \5 Z  V, M' p/ v

) v7 U6 p, w" X; H  T7 {) E
做过NOD32免杀的朋友都知道，NOD32的特征码经常定位在输入表上。/ R' a/ R2 y3 R' _3 @% j; }7 m

我们怎么看一个杀软定位特征码是在输入表上呢？很简单  你把定位出来的特征码放在C32ASM里面看。( o$ _5 L4 [# L7 {) {; S

对应的ANSI字符是在一些什么DLL后面或者一大连串的字母后面  这样的多半是输入表了。, n3 m) G0 P! I) V$ y. A6 G9 s$ q

输入表的免杀是非常重要的一课。
% o6 ~* V0 E0 L: X* v9 G
常见方法有移位法。上下互换法。以及重建输入表法。# ?1 @7 b2 n2 J
" D* d  V0 V( V3 K! o$ Y$ p6 x
移位法就是把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。
0 V% C( `3 V4 h7 a; v
上下互换法则是再找一个和我们特征码那一个同样字节的字符串  互换一下。但不是通常都有用。; I6 z$ j! c7 b

重建输入表则是免杀输入表效果最好的了。一般的木马都只有一个输入表。' _+ F2 a* r# g6 j) M4 B
7 |" H0 R/ m; M% Q4 G9 g
我们利用ImportREC来帮我们的木马重建一个新的输入表  把旧的输入表删除。。) V7 h$ S8 |8 T/ q

这样免杀的效果不错。。。
. q( Z+ k8 C- a3 @
关于免杀也就这些了，这也是个老生常谈的话题了。说来说去无非也就那几个方法。1 B" _! y. M% W4 Z' \* [6 e2 c

什么入口点加1啊，区段加花啊。。修改区段名字啊。。。# u4 A' ^1 i% r; @$ E: o, B

大家多多了解下，  免杀不是很难的事。。
# u& y8 A$ H, w6 ^$ o4 r% [7 k$ R
此文仅写给新手朋友一看。。老鸟飘过。。

1 评分人数