【3.A.S.T】网络安全爱好者 » 原创专区 » 木马免杀之免杀输入表篇

1335csy 发表于 2009-3-31 11:30

木马免杀之免杀输入表篇

最近和一位木马免杀牛人交流，感觉新增进不少，
(C b M9k2rH2qq
8[*[6Fu1b1c [R0D 特拿来分享给大家。
/R)Z9X$x@%L"I
tSZ(p"^ r 今天我们不提我们国产的那些杀软，真的垃圾的要死，
;]T$Q`%E
2T(e_1z7\ 上次有位朋友叫我帮忙做上兴免杀过瑞星，说内存特征码定位在输入表znm3N:E B+[R

bz;L:? hO/j 我简单的重建了输入表就把瑞星搞定了，
$t/[2Y.EP%}sG
G9fpu:T 失去信心了。我曰
6}zF5A
Byf(ZQK5}
K4|.e"]m&kU 今天我们说的是免杀输入表，以下是我的经验，也有牛人传授的免杀方法。:i.r$aA#v{A9e

jv@3]f0t%~$Ot 首先，大家要知道一点，国产的都没有高启发式扫描，瑞星，金山等都没有。};n4Z+a
vK'_J-b:_

)D8RH&u7GT/A5G$]$jX 外国的，如nod32，卡巴，小红伞都有启发式扫描，尤其以卡巴的高启发式和他的2009主动防御难过。
D.{{4t0s:B!NaF
,q&bvG
wR;u 高启发式扫描必然导致特殊的特征码，我建议新手朋友做卡巴等免杀的时候，先把启发式调到最低"zSl1|![`.THk6|
G_/X#i|)NGSuC
过了以后再调到最高，再做免杀。&Nv,k,Z;]W
2m'e\cS3T[
以上是废话，mx.tY?y7]`
9joH.d#}'Yq-d WV9{
好了，下面我们来说下常见的免杀输入表方法。W y:m(A r&mTc

$^O$JR W8lxF 一。移位法3cU-o8N)?Ov/D
K

3^1R:_ d7VEp.Br 这个已经过时了，我们的国产杀软及时的跟上了时代，
c-d"EfGe \,M
l0d We&V&tCe 移位法在去年过金山和瑞星，还有江民都是可以过的，3pC/oEL

IX:{ry(hc 现在的杀软智能化了，移位么？呵呵 ，追杀你。 MftR2rk6Q5e n*~Y

*MFu)]q!y%K 如果你想了解怎么个移位法，去百度搜吧，大堆的老教程等你看。
1U&Ydl_5S A
`Q0X8G7W(]#l 二，重建输入表
0YZ4z/UR |e4UKC
效果不错，这里说下，简单的重建输入表，还是可以过我们的国产杀软的，外国的就不行啦。哈哈
U{7zngF
f A*Og3J;pX C*^6\
这里我介绍下，
/yZD-h8d}` 9b2Irz7U$\%k
_F
用到工具：8k2A2|.C8oB,B
importrec1.6
:?%Gp x
y)wo:C0p2| od(wC"M#C.s6V"B L isI
c32asm
&@I,^_6_/p%Q8o loaderpe
y5t#D"g5`0x 这里我们简单的介绍下，如何重建输入表
sv9m$LTP&tQ 9D9Z]$qp)_J
首先吧文件拖入od，打开inportrec1.6 Bvp*hk9c9M"S{

}0k
sFxQlzif 如图 选择拖入od的程序，1Ub6HoeSV
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311047179550_30322.jpg[/img]
x/j5] fE2EI 9fD7l/O/Fx
这个时候，我们打开loaderpe，Yp+]A5RYR!QG

] z3vsf Z#Z}'k 拖入我们的木马.u7Z;gL|@d qJ

's5\w$Ft;H9YK 选择目录，p%K-^
z$M8tk

p3~t
n3rl b!`jth c 我们看到导入表这里。。。?_6^z |#x{
_7a)l&I)QM9q2qQ
如图：
C}T0L!F-M+C [img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311050246640_30322.jpg[/img]O/RG1XF


F2@^|T)t6? RVA地址是0001D000  大小是0000154CNr2v$|)b L'l1IZ:W&W
"fi*I9g:R Z.kE(i
好的，我们把这两个输入到import1.6里去1L'QnvDQ"q$e

c:\*j$^
n0`6O^
yn+H 就是在“加载树文件”那上面一点
-R?GZv 5u$n yH:z+y
输入RVA的地址和大小。
.D3b8f&sTS@,M
hB NQA6s/w 点击“获得输入表”
Mj li0_} jA
iiMy$`a 然后点击“显示无效的”
t9hTi+Oka6W| 8m%Up*c L.T8y0|
接着importrec会自动列出`QcG&O.P.? Ql\
/C.J` q Bx
我们把深蓝色的字体  右键   剪切无效的指针
1Skh%zLgB/[EF] e?O;n,^$oB

j J"CMR 最后，我们点“修理dump”
#v:yi Si\wa'F :~{6~Zg1d*zRB9e
选中我们的木马就可以了
}NX2Y"{b0m
8A@ \1X O1HE z1U 最后我们要用到c32asmxu+sgR(PA

APu.a(h#wB(|@ 我们会看到两个输入表，我们只要把原先的输入表全部填充为00就可以了。 M@~&a1I H/[A/P8`
;]g8AN7m9Y~5t%F
这样做，只能过国产的杀软，外国的 如卡巴就免杀不了（如果他的特征码在输入表的话）
K1`hj7qm4O_1m
OM HH-e2Q 这里，我教大家一个方法，也是重建输入表，可以过卡巴，不过加了个小步骤，3Bg @/U1g$jm6D J
*{"EF
B4bv
我们把马子拖入od的以后，打开了importrec1.6
j%Gj6RmO*h8g[
C 3b'a
K&to#N8z*JM7z
在选项那里，选择根据序数建造输入表和创建新的IAT
-m`rQ8{%kwp $KF+k.}KN
如图

m?k w ^N/g [img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311111283643_30322.jpg[/img]7p/ghFk ~9m lXU+^ s

VO Q*[b},l]2v 以后的步骤照上面的方法继续就可以了
vg$Y,XbM'?C7d h8XgE(D-v)@a%b
不过此方法有个弊端就是，如果你在sp3下作的免杀  生成的服务端会在sp2的系统下运行不了J4y~1WuI7`$}6p)c5I

1|6^/R6Z?1~m5` 因为kernel32.dll的大小不一样。3oAkJf"?
$y*?$pX]8b ay7W.Z
3.修改originalfirstthunk ?Y5B0m'wD*u&tUnu
7KJe$WjGB._
如图所示(b"s:R*}Jr4YSl _
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311118087031_30322.jpg[/img]
tQ$b!T0`F4H/y oPMk2B:|_
我们打开loaderpe，依次点  目录--导入表（后面那个横线） wEoUhs2E,j%[

^,W/lnT)X 我们可以看到所有的dll，如图，我们假设杀软杀的是wininet.dll
R i
a-o,B6Ki
er]M(GbU^R 我们右键--编辑--把函数后两个00修改为FF
.HB(J\:K?;I
LJ9`XuW3}a 这样可以过小红伞查杀。  虽然会出现错误提示
$u$p@4L~._4e];P
'Ua1wXWD,Q 但是不影响木马的功能，不影响上线。
~ H1P#@7p,N qA j[E aU
4.dll后面加20 90法过卡巴查杀
_ p5@4R@!tBS
.r9m~E"^/p 需要的只是一个c32asm而已，非常简单但却非常有效)ac!Gg&IN
vd&V|xU4p6_ } {$t
如图
ZOEH3w'xDx
w7i t2V/G^ [img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311123009041_30322.jpg[/img] ^ JT'k,n1H!Wc+l
5~gV:_ f\1J
cn
我们可以看到，
Q4w^ eB NFn o2^4I/S_N`
在ntdll.dll后面有一个空格和一个问号   对应的ascII码是20 90
wZ.K:H(QuV.r+v7Q| jh$c
~?)~ q o"b&O,R5UB [j 这里假设卡巴杀的是ntdll。dll下的函数ZwUnmapViewOfSection{)[|"SB0B0Sl
TO9hg y0dS
我们只需要在他的所属dll后面加个20 90就可以了
&H@"|;|"H DC3Xe]%xd ?
卡巴目前还不查杀此免杀方法*OV6[&tZ*y
8k4K!Q'Y(Z

3~%v4I_Fugt 唧唧歪歪这么多，打字有点累了
#EZ5_-V"g-]G 5KQt5QrMu1m\,QTf
以后有新的免杀的方法我会继续公布的。暂时先写这么多吧。M'O/q/R9s#|f
9eYm.Z_{
[[i] 本帖最后由 1335csy 于 2009-3-31 11:35 编辑 [/i]]

查看完整版本: 木马免杀之免杀输入表篇