返回列表 发帖

[原创文章] 个人免杀经验分享

原创作者:1335csy [3.A.S.T]
3 e; W, f7 \8 C9 O" D% b! K

1 ~9 u$ S- ~5 j  X2 w6 V; y信息来源:3.A.S.T网络安全团队  (
www.3ast.com.cn  )
1 W3 n" k- B+ E
  l. {* e& e, S! e! P! F1 {6 b来了3AST很久了  也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。, ?( H- K- X4 C$ z1 r$ n8 @
, K2 t* @% @" h1 e" m0 O6 y
免杀也弄了有点时间了。。现在分享下我的经验。6 ^+ q' x& C) {# h0 g8 D0 e
2 b% q9 n' R  F* c3 j0 B
首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别): j& i- i. w& z5 D% d. P7 B

4 X& d/ q, K! Z$ A) S5 t' k' ]修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。
0 f, v) x# j3 W3 e  N. l; F, ^( N8 e1 i1 k" M7 E: U4 P
第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,
: U8 Z3 t6 m; E6 G# ]
7 e* ~: h7 E/ ~再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。
( r, _7 Y! p; H& ?
( l: Z) T$ {& Y: N: Y' l' S* ?& Z很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,' B& r6 b, ?2 o/ i" x( y* X  |
7 p$ D+ R" ]" g
其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。
1 D& l4 x) l. h! E5 `' ~
5 i& {7 {  l% x8 r+ J( s% ~顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。
, O: r# q, V6 y5 @- n# Z
/ L4 W3 ~- [% B" t/ c2 M对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。8 C& g) K! Q( {2 v5 b
0 i6 d  Y% |5 I" ]) z1 r
对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,, u# S0 l' l+ u, r4 {
/ _8 a) W$ d6 b) l8 A/ U4 W
对了,花指令对瑞星不是很管用。" S. K3 v; d* H% O$ M9 ]2 e- C7 M) A
# U9 R# Y9 ]; O( y0 y5 C4 ^: l  [) t

5 m0 T5 h7 p: h) C做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。
9 f  e3 z$ D6 o3 a
: s/ H5 s5 O* u7 w" y我们怎么看一个杀软定位特征码是在输入表上呢?很简单  你把定位出来的特征码放在C32ASM里面看。. G3 A) s- t% I1 t' S
3 R2 f( P- Z& o; R
对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面  这样的多半是输入表了。
" K" L3 h  P) J3 K7 q+ e+ {1 }2 @% }
6 n' N9 @' i* t5 g, U输入表的免杀是非常重要的一课。 % n0 a' T$ `7 T$ U' |- u
1 G) ~1 }; k2 V0 j9 a
常见方法 有移位法。上下互换法。以及重建输入表法。
: b8 `& d4 V4 o8 L8 }
5 {- n: {  N7 l" P. z- P3 }移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。0 ?# R8 y2 [' P' W. E

: `$ E8 ?) |6 g! u上下互换法则是再找一个和我们特征码那一个同样字节的字符串  互换一下。 但不是通常都有用。. E0 C0 e' w( z
, \$ \8 I5 `9 l6 o( e
重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。: ?  z* B) c: M4 s! c7 S7 D) G; \4 m

  ~2 m/ x$ d, O7 k6 K我们利用ImportREC来帮我们的木马重建一个新的输入表  把旧的输入表删除。。
( ~: ?# d' P: |( j/ `% X: J7 \' i7 L& r1 w* E
这样免杀的效果不错。。。6 ~  F+ \. T2 r8 j  ?
$ F2 U) ]0 z& W& [. q; d
关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。3 f4 u  I$ F: @, p: E8 v5 C8 A
2 ]1 G6 j) T7 l$ O3 M$ R# ^" B: q
什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。2 q4 K3 j" Q; ^

3 r( v9 f- o, |大家多多了解下,  免杀不是很难的事。。
3 ~0 d$ v& N9 ^3 M" ?3 b' W, N8 @3 t: z9 N$ A) g' ~* C0 z
此文仅写给新手朋友一看。。老鸟飘过。。
1

评分人数

认真学习一下

TOP

认真学习了....辛苦辛苦!

TOP

是得多看看汇编了~~呵呵~谢谢了

TOP

好文章,不错,总结不错
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰

于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

TOP

受益了`:handshake
頽廢+無聊+现实=我的态度

TOP

谢谢这么多人来捧我帖子  没有想到啊 呵呵

TOP

还有我小希呢,1335,多谢你一直以来的帮忙啊。
花前月下,不如花钱“日”下~~~

TOP

1335加油哦

TOP

这些貌似是基础的东西....

TOP

返回列表