|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
原创作者:1335csy [3.A.S.T]% |# g1 q, O2 O6 `3 `
' J6 `$ q4 L; G! g信息来源:3.A.S.T网络安全团队 ( www.3ast.com.cn )8 \. |. {4 Z$ P* M, J
3 x0 g9 j) ]0 m+ |/ n9 M! y8 M
来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。
% @( _* c' l( ]% u: z( s. z' J4 R6 Z# w% V# N
免杀也弄了有点时间了。。现在分享下我的经验。9 C7 P3 P" f3 W) y
) M: ^ ~, _5 m$ u首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)
3 c) ?% p( Q9 f) h$ j( Q
9 ~0 C; I, q* S; }2 L修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。
$ S8 h! V; [; o8 [3 ]8 I! O/ \' S$ Z/ _3 t* h/ C3 ^3 `3 {8 R
第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,
8 n$ f" c/ s, g( ~8 c9 u" o! {6 o2 G1 |
再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。! a$ B+ ?9 z, m2 v8 ~1 P9 ^ M
% T& J( A' p0 l! k( I/ ^4 ^1 O很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,
" K) l0 d2 F+ i* B
$ ~0 k+ E+ a+ V其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。
9 y; ]' A" c' d' J6 n6 Z" S8 h/ S2 H, Q7 r6 o
顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。
9 B; n) E8 v5 t
" f" r' ~" q/ H对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。- _; i9 n. [, {
+ b" A. A- [, d1 F
对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,
1 c9 d& J: F1 |6 X
4 y3 W- i1 Q, n, t! }9 q1 m0 [对了,花指令对瑞星不是很管用。
' D/ m' D/ S. F0 B0 V
/ d) F/ W4 J* {" y/ h3 R2 \8 j! ~7 y. o' E8 v9 y2 q9 D& k
做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。 E6 W$ ?+ ~# J8 w5 n5 d
# X- Q* J; S) ~! w6 P
我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。# W \1 ^% I6 a, B6 U
9 d6 L) J0 _. W h+ G3 j) z对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。! e$ c8 }2 [* I# a
& [2 t8 @2 p1 P输入表的免杀是非常重要的一课。 + y3 o R! d/ s; K9 K% f
+ k2 w+ ]/ d# ?常见方法 有移位法。上下互换法。以及重建输入表法。
' Q: x) q1 N' ]: B( s: J& r8 i& m# r: C1 Y9 f
移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。
8 M3 H1 O' X% u( a8 E1 Y% w9 ^+ _! B4 ?( q
上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。! Q2 w6 H# h! g0 I; o) M
1 c) f# Y6 E+ P0 u- A) N; O7 S W重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。
" q A" ?5 e' j" m- {$ j+ m5 _* V/ E# l: r+ p: E& A4 Z% ?" j
我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。
( g' n( ]" u2 x! j2 ?% ^* A8 ?/ q# t8 I! H A8 X, C
这样免杀的效果不错。。。
0 Y8 {4 H o; w# w: l
8 }# c9 U: v8 F& M* Z6 y5 K关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。# }! D% g3 q( E, n5 n
# y6 y( [) t- C什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。; |! p" _- M3 J
! \- L2 g; Y0 U' |" W
大家多多了解下, 免杀不是很难的事。。* s* X0 h* F% I& q7 n# `: H& O! L& Q
# h# [7 r. v+ c) h' p此文仅写给新手朋友一看。。老鸟飘过。。 |
-
1
评分人数
-
|
发表于 2009-2-16 20:17
| 
发表于 2009-2-16 22:44
| 
