|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
原创作者:1335csy [3.A.S.T]" M) S' I% J* ^
( Q$ M2 m" T( {9 V4 V! M# O
信息来源:3.A.S.T网络安全团队 ( www.3ast.com.cn )& g( a* h; P' ?- a8 `1 n: D. j
) H6 Q' u7 d% ]8 U来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。
5 \7 w+ J% x, ^7 O# b: h( T4 t/ `7 [5 M
免杀也弄了有点时间了。。现在分享下我的经验。 [. O% \: E6 o8 }. S$ \
# }1 v7 B( C4 c8 K# d4 I. W7 R首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)
3 i! O$ d) C) W7 s6 c5 L
7 `" z0 M1 Y- y( ~+ E2 V1 e修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。
+ B( g! H$ C4 O+ [/ C$ c0 B
$ F% [. [2 q5 s8 J$ o. g; J" E$ o( [第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,0 y9 U# @8 m+ _# L d: q
: l/ y- ]+ F8 Y9 r3 u
再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。
+ h$ B- W B+ ]6 y# e8 k5 |8 I8 T6 h
4 h) v8 z# | s( b- g( S很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,+ j- Q' b+ A6 Y) \3 a+ a
/ @% n! [$ ~' z' S" H
其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。
& C) \8 Y# V9 P- U* w
& A6 x/ }8 T4 g4 Q; ~7 @顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。' c" M' P( m X, [: f
0 r- G& L4 m4 n对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。
" @ d. R% M# ]; E. P& O9 `# z- y+ i! m
对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,% k8 W7 D% `! t% _8 M7 E* c. @
' [5 X2 h) |8 ]7 w2 K对了,花指令对瑞星不是很管用。3 g) Z- t0 y/ K: V! ?. o- h; c
' B5 M; b& \6 v+ r
/ V9 ?0 r& L, O1 P- [, l: M
做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。
/ S2 \: p _) F4 O% S/ C5 [# X- m8 Y5 _7 R
我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。
6 l& q6 j. B0 D9 i% g* K
6 |6 ^$ B/ ], Q7 k; x, `* Y* M3 k对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。( c% M& i; Q L: c
- Y8 W7 }/ H' E O, z# q' y# i输入表的免杀是非常重要的一课。 9 G+ C, Q3 y4 t0 s% ?
: ^) N4 U: ]: _8 T% Y& [常见方法 有移位法。上下互换法。以及重建输入表法。
& x# K2 l g( ?% `# V B8 S, n( ~, p% I% s
移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。% X' M% \# E8 V
) {8 \. g6 a0 @( C& I% g
上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。2 i7 B& p, |% o- N& \& S
; }& W |4 T7 q/ a' {/ j
重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。
2 d2 @0 y$ \+ Z: p: z/ d6 z6 M+ _' N
我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。# c( F. W! I" c* o! U
( T3 J8 n; M; v+ ^) M& u
这样免杀的效果不错。。。
( J8 z4 v' g6 V6 y! p
/ L, U, t& J% Q关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。
/ m% x8 J5 _' W1 Q( m a/ _7 F; J6 G
什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。4 R% \3 c" r& f4 F' n( M
2 E$ S5 ~1 ?6 X% H3 z大家多多了解下, 免杀不是很难的事。。
8 A7 {% w! q$ ^6 W4 w) J2 M# T
7 i3 ^9 I* C9 ^% W& g5 Q6 Y1 k此文仅写给新手朋友一看。。老鸟飘过。。 |
-
1
评分人数
-
|
发表于 2009-2-16 20:17
| 
