|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
原创作者:1335csy [3.A.S.T]9 m$ `7 R; F K2 e( i
6 z" R7 ?5 w9 h$ D/ F+ N, E9 {信息来源:3.A.S.T网络安全团队 ( www.3ast.com.cn ), u0 j R( a% o6 R; |
+ E% F. W1 Z2 o
来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。
% k6 n2 f: p5 z7 d4 c! n) g" x4 Q; O
免杀也弄了有点时间了。。现在分享下我的经验。8 V" N0 w% ]# @/ q5 K2 c' P
5 N* m! z- e, C c3 r# M9 J首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)5 V# p! {9 w5 r0 v8 T) \
& K2 r& i3 F$ O
修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。1 B* |/ u+ c6 I
2 a1 W" c' |, M- b) J. P/ @3 f第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,/ u; U6 c6 \5 T4 @9 e
0 A9 d1 g" v. z) w
再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。
7 }: t2 X/ a' H3 |4 d4 ~! S; G4 {5 U6 s8 G/ |& b6 @: |
很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,9 |* ?: x) L1 z7 ^
8 L9 _7 x7 x+ W) U! w( x. U) l其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。
. S" o0 ]$ f( z. d! C ]8 U* [- ?& n4 w9 W$ W
顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。# [ q4 W+ c; b: M8 u" f- p
9 u5 J$ W0 D% E5 e9 S7 S' v
对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。
8 `+ t: e: T$ L. z$ q" x
O$ f1 s! I1 C) \对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,' h% c1 H6 @' J) ?$ v
5 C4 o$ a+ C9 S% ]
对了,花指令对瑞星不是很管用。
5 q5 U8 `' U# _) [5 D$ Y" g8 C4 j. v" `8 d& |# _, f
/ z* M# K C( W3 h# Z- N6 L5 {做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。
. U% L/ r5 e/ J; }# _% S! ~9 Q
# g% R% I4 J" M2 l: ~我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。
; I: \# F( ~8 Z5 l% c" H+ V, M. i4 a0 b5 i0 O+ p/ l8 c
对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。
& c% W5 R y4 x+ a: y0 a- u1 X% l5 f
, a2 q f& R' {% b* c4 Y输入表的免杀是非常重要的一课。
2 g, b+ I0 ]: @5 X, j( A
" k' K+ l. V6 S( {6 I1 m! s常见方法 有移位法。上下互换法。以及重建输入表法。
, d; M" S2 |( L3 X0 o( ~1 Q% [9 E
! _% j' P9 d4 e; f" t$ m0 C' ^$ D移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。
$ s1 g" I" m; s3 w5 \
+ @" G: O; s- {' J$ @# r上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。
* [: H2 m. E4 B4 y/ d. V) N/ Z
/ j# D: n/ v. X' x: i. N" t重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。
; n/ i5 B+ l- o0 E1 {
P) D- u& H8 B5 d [; G; D我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。
% W( m S2 ~$ i0 b% @% J6 U+ m
这样免杀的效果不错。。。
7 ^ n4 r0 {! i; x
* y+ ~: o, d* o+ c" P% r8 w7 ]关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。1 a: [5 d: |5 z$ k1 J* X
/ ?2 O0 l0 ]0 \7 J什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。
3 B+ [$ W& |3 i& [
* S+ Y, b* d3 @1 A大家多多了解下, 免杀不是很难的事。。3 h! y. a9 {& [; U: `
: B7 s, b! N7 y" Y9 B4 H) z
此文仅写给新手朋友一看。。老鸟飘过。。 |
-
1
评分人数
-
|
发表于 2009-2-16 20:17
| 
发表于 2009-2-16 22:44
| 
