|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
原创作者:1335csy [3.A.S.T]/ ^) L' }" s Q' {0 P6 y7 Y& |
* h9 j7 V* u+ X: E+ l! d4 r
信息来源:3.A.S.T网络安全团队 ( www.3ast.com.cn )
$ b7 ]' d9 n4 Y9 N2 j$ `
( i) L" \ g$ W; X) D来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。' r0 ]) _" p7 q. O* n+ T
! v. O( ?& X. b6 \免杀也弄了有点时间了。。现在分享下我的经验。9 c7 B2 O9 a$ o$ X
! z( l+ D' p9 k6 o8 C首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)) w) j- o9 g# y9 V @2 ^
% a+ q$ Z: Y& B
修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。8 b( n& R \7 J
) A2 q9 P& \1 r+ ]4 J$ l第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,
, T0 C$ g) P: g( A9 C8 J: @
) H5 q8 w$ s6 ?2 [" v" K+ @# O再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。& J0 Z3 O2 H7 Z9 f. J' z
" k l2 v D1 o2 J2 N很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,% f& f A% z1 N, b
# C0 @9 l/ @8 M1 F" C" v
其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。$ U1 l* @* K; S) N7 O
% O! b5 v: b- u. g( T顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。
1 x/ ~5 n9 M9 x/ R. [
$ d' m7 a6 r$ V: l1 c5 d9 O& S对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。8 ~# K/ z# P; k2 x
; k5 `- z, |% @. Z# i对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,
, k+ s, r, y( ^
! m, E" q. c* G9 _$ \ U8 ~$ a- `对了,花指令对瑞星不是很管用。
3 s2 Z' S4 }4 H- t. F! Y9 N/ H1 i
! K7 u% @: `3 }7 b) \% m# C. {
做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。 d- h+ u, q; B! @
7 d9 x7 t1 B$ y
我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。
+ o! \( g8 m/ I' Q8 A4 H2 g- T; S6 o4 e+ m2 |$ z
对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。
& r& ]0 v8 t$ e$ a
' R g4 k& m2 {5 F输入表的免杀是非常重要的一课。
5 X3 Q5 h! O4 y# i' \, x) h+ G2 @1 g" L& ?! A
常见方法 有移位法。上下互换法。以及重建输入表法。
; C# n0 X& j% o6 o* p' V
% ?6 y% \9 c F9 d2 A* s5 a- g4 {移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。9 Y0 ~5 ?% m* e$ S& {" ?6 v
. W3 j) }) q5 [$ l1 {6 U3 V, m
上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。
, q/ H- B! o5 P1 }+ O2 V8 @1 a6 s7 a7 o( L5 @* O3 H
重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。
& ?; \) X3 x7 u2 }" r, P; I& [$ T& |: u! ]! |" p
我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。5 E* T* z5 o0 E) p: h6 Z7 S7 q2 m: A; P
: D8 k% O1 X3 L+ R- ^; Z; d这样免杀的效果不错。。。
/ Q7 ^+ {# W% }* l, n# c* u8 M4 O3 ^" _* b( @' M/ I
关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。
4 M: d8 Z9 y. k/ x! X: }# `4 \, f( s; Y& l
什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。# k/ m) {3 W( ^# i8 m+ V1 G' M, C
/ E7 N4 r! C* w) V& ]% c7 A
大家多多了解下, 免杀不是很难的事。。8 J5 D% x4 u5 H0 c" f% C5 b
( Y5 k! g. ]- J7 `2 B# r4 x
此文仅写给新手朋友一看。。老鸟飘过。。 |
-
1
评分人数
-
|
发表于 2009-2-16 20:17
| 
发表于 2009-2-17 15:05
| 
