返回列表 发帖

[原创文章] 个人免杀经验分享

原创作者:1335csy [3.A.S.T]# ?' A/ L3 t, I, K
' j: n+ m" t1 T, P5 c: R
信息来源:3.A.S.T网络安全团队  (
www.3ast.com.cn  )% B9 l. ]9 P, O

2 S" A# ]6 k. V  [+ J5 Q/ F: J2 h. D% c来了3AST很久了  也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。
8 ]4 S  P( z# B! |; ]' Q% p
2 G- g# @7 o% g9 _" j& u8 x  ~免杀也弄了有点时间了。。现在分享下我的经验。9 i. [6 B% `$ w+ J8 F
7 T% f2 e5 a, T1 x/ |
首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)
2 m+ W5 L4 R2 H8 p8 |+ B. }
! {( U. v8 X+ D& D修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。
' ~4 Q$ n8 d& k3 z9 ~( K% _( L
- Y. D4 x# z- h' H& B! n- ]第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,+ k8 ]- D6 T4 I

, T* x7 D$ O! i2 K6 v! Z' e2 a/ t再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。
; y- ?, l( {2 H; [
% K, p4 }, {- L很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,
( C8 @  b% c: F& K4 f# q2 J
# p; _$ N+ l) t$ l其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。
  [! q" ]* ]5 K7 |
( h# W6 f# L" T$ e& z# A3 Q! q! _顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。
( P4 V+ B0 g3 p3 m& u# `) `+ T4 w* c0 m4 o& }3 W/ Q$ [3 R8 z+ u! ]& q
对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。  d( @# I( Z3 D& P0 R3 I
2 Z( {2 c$ R# |# h8 W
对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,& v7 e9 t' L$ Y' y& G7 y
. T1 T! \; F5 D% j0 @9 D
对了,花指令对瑞星不是很管用。
$ [. \" }/ o2 v: _7 t5 e0 ]. _4 y" m
) w# U6 k6 L+ k
/ m( X9 y# j+ x6 R. [, {2 q9 W做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。! k- Y6 j( S1 a1 D  p5 F

  [* u& V: g9 I我们怎么看一个杀软定位特征码是在输入表上呢?很简单  你把定位出来的特征码放在C32ASM里面看。6 p5 q5 @) r5 p

$ F; ~7 V' G6 \1 \" A对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面  这样的多半是输入表了。
, O& T- ~& F9 I: t" L( w9 g9 M. e
输入表的免杀是非常重要的一课。
# Q4 u- X8 Z. }4 V; c6 S7 v) K5 F+ k2 k( L# e- C; u; E; w4 J; f
常见方法 有移位法。上下互换法。以及重建输入表法。$ c0 R( }; e& u1 c

) W7 ^! e! |4 |2 r7 o. P移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。! Q/ q. `7 W* n$ e4 y3 W; p

9 ]- _. H" Z! s9 D5 y9 G; i! c上下互换法则是再找一个和我们特征码那一个同样字节的字符串  互换一下。 但不是通常都有用。
5 Z. T& G' S) A; q- l7 }0 I6 {- f4 Y1 Q& e5 O' J# i- a8 O  T( Z
重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。
  L9 K  Q8 y) n8 K9 w
- }% G1 \) E5 H  O8 O我们利用ImportREC来帮我们的木马重建一个新的输入表  把旧的输入表删除。。
- i5 `7 t+ u% e" K5 C2 q3 {5 U9 j5 Q: ^# i- `$ u
这样免杀的效果不错。。。
0 Q3 }0 F3 f0 Q+ c: c/ q0 h/ @7 D6 z2 o
关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。' u. g# n- Z3 H1 U. C4 `
/ @$ ^: `  I" S! \
什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。5 D' }$ P7 o7 D, |2 {

  x* B$ _1 N* [2 k3 \; j大家多多了解下,  免杀不是很难的事。。
* V. k. e7 k2 e* E4 w/ t) D& F: f- j% i! ?) e+ w
此文仅写给新手朋友一看。。老鸟飘过。。
1

评分人数

认真学习一下

TOP

认真学习了....辛苦辛苦!

TOP

是得多看看汇编了~~呵呵~谢谢了

TOP

好文章,不错,总结不错
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰

于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

TOP

受益了`:handshake
頽廢+無聊+现实=我的态度

TOP

谢谢这么多人来捧我帖子  没有想到啊 呵呵

TOP

还有我小希呢,1335,多谢你一直以来的帮忙啊。
花前月下,不如花钱“日”下~~~

TOP

1335加油哦

TOP

这些貌似是基础的东西....

TOP

返回列表