【3.A.S.T】网络安全爱好者 » 原创专区 » 木马免杀之免杀输入表篇

1335csy 发表于 2009-3-31 11:30

木马免杀之免杀输入表篇

最近和一位木马免杀牛人交流，感觉新增进不少，
d8s.^u
Q
(xXY#N)DlIP 特拿来分享给大家。
.X z%B[L%`
+M+X[C"Lw V7N 今天我们不提我们国产的那些杀软，真的垃圾的要死，,U0O-}9U2Zj(V$N o5h:|
j+q+Ws@6P2o.^ ^'@u;k
上次有位朋友叫我帮忙做上兴免杀过瑞星，说内存特征码定位在输入表
8U s!p:e%B!_.q m+d nVvdM
我简单的重建了输入表就把瑞星搞定了，
ek4kwf }h;V Mm"TQglt@P
失去信心了。我曰&w2PqWpw(cVJ
x}*h$wV@(F0sM
今天我们说的是免杀输入表，以下是我的经验，也有牛人传授的免杀方法。
9Q c U^FjK4C:j(z Y.MV[.h7wr,i
首先，大家要知道一点，国产的都没有高启发式扫描，瑞星，金山等都没有。
I+ww+v-_k
L ~ dau$GT;]%f 外国的，如nod32，卡巴，小红伞都有启发式扫描，尤其以卡巴的高启发式和他的2009主动防御难过。}2C \,c6CR,b
'uhE.@9kg
高启发式扫描必然导致特殊的特征码，我建议新手朋友做卡巴等免杀的时候，先把启发式调到最低
+UM!{;G4iYx
7n \:]&`:l.@9P,if 过了以后再调到最高，再做免杀。k&X
WL^ z N|

` Z[T_ 以上是废话，}4vo(J.y
m/Y8Fe a
nXzcXa}
好了，下面我们来说下常见的免杀输入表方法。
-E&h7E)S/YWm \0r$C
,k+lE$a9W*Rv8St 一。移位法9[4r0C;fl"D*l

jluTA Vhm&P 这个已经过时了，我们的国产杀软及时的跟上了时代，
8h4w
kSxwi
$|+eM+{
L 移位法在去年过金山和瑞星，还有江民都是可以过的，x3\}b"sp&w

J7Z,ThgY7C
[ 现在的杀软智能化了，移位么？呵呵 ，追杀你。
)xlD;d;R3Uv[
7pZ#?-NKu(s 如果你想了解怎么个移位法，去百度搜吧，大堆的老教程等你看。aU3B NN7Dx

eR+p1V|S
\)l!B| 二，重建输入表
Dix-u5@!b {0|R8oU:A_Q
效果不错，这里说下，简单的重建输入表，还是可以过我们的国产杀软的，外国的就不行啦。哈哈$T rM6gd;r+}
*Yi!C.yZ&hA&h
这里我介绍下，5R w}k+QNNf
.uaL i-R0Pb3W
用到工具：`#QUw T)c&B!K3z$F
importrec1.6
'd&]$M*m#Y[yv od
0|0rf/]*bkwJ W:V c32asm
Si#L5c3Fwo1s loaderpeU UdI(}-P y
这里我们简单的介绍下，如何重建输入表@V8`u'DCu
u6y+W.Hzm
gC
首先吧文件拖入od，打开inportrec1.6
z!n mw|!sww
:H b$Vm^;Y4p 如图 选择拖入od的程序，
yGY2T ])`
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311047179550_30322.jpg[/img]
*p!rYk6d
I(Tk#QW 这个时候，我们打开loaderpe，
!e5S+sF3x5Xl\&aV.T T/y-f;f5~AZ%Ob)\+zm
拖入我们的木马0qK KQ.gH#zGnC"P W

O*YBv!M?"Z 选择目录，
]}7|yg5Y v ys2M'{
e&FiQL9T
}P;| o9c 我们看到导入表这里。。。
R'~_5c]@s)@
;dJ g/OS_m 如图：F0c,v%CT^9f gF
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311050246640_30322.jpg[/img]
"]8}$Pn0Xym,~
l
%gGA#k#|k*LB.yu RVA地址是0001D000  大小是0000154CG%S
X\Xo5A_
_x&ZJt+Ch(z
好的，我们把这两个输入到import1.6里去 tB(_1_"zC

}.l$q1LK{Gx 就是在“加载树文件”那上面一点 r IdBq gB

+e[:\Q_2VO_ 输入RVA的地址和大小。7@2AJ[p

`\L6p3N:w 点击“获得输入表”`+Ha B$J8t
[H5_%J l%XM9F4y5TF
然后点击“显示无效的”g*DG CX!_D.{
D$Wj}D$oQ.fq:WT
接着importrec会自动列出'L(v {:Fqr'UY4B(E
S9Mjm1U2H
U
A'X!c1h
我们把深蓝色的字体  右键   剪切无效的指针
)E6PX)p)JI8`7F d3K{'b#S.p
^'tl!U6y.cA
最后，我们点“修理dump”
-io4? ZD*u? | PO'Sq X5Xr?
选中我们的木马就可以了'FnVhw
HkvuO
最后我们要用到c32asmL*\,qj$P g
]4\q&EoI@
我们会看到两个输入表，我们只要把原先的输入表全部填充为00就可以了。
,J
[1HE*aHc
+K/o#r O0bW 这样做，只能过国产的杀软，外国的 如卡巴就免杀不了（如果他的特征码在输入表的话）'uO,W"S%Y#R*j+k(e

lr[7L5V%l 这里，我教大家一个方法，也是重建输入表，可以过卡巴，不过加了个小步骤，
S;Y5I O2q2\!h oy)FCS-v kA+t
我们把马子拖入od的以后，打开了importrec1.6
0vq$}qn$W /m%IHVkp
在选项那里，选择根据序数建造输入表和创建新的IAT'G?"N n%t
.NaW s'ir
如图
uN&{pcHy.k [img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311111283643_30322.jpg[/img](MH!P~mVj?

/D"B0K2AlTP_J 以后的步骤照上面的方法继续就可以了?w#DtFo{M
\eRV'[3B/\
不过此方法有个弊端就是，如果你在sp3下作的免杀  生成的服务端会在sp2的系统下运行不了 m*{Y1w2Y^Qs*U

Ep:qJ;m.V)J(~3C 因为kernel32.dll的大小不一样。
n6]p ? C+tB*u|
e1mwlJ\ b MF 3.修改originalfirstthunk
d V#Z
H2nIG _#LK]1d9_o7C
如图所示
_*Wp [Jg's b [img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311118087031_30322.jpg[/img]+RC:^rw e5S|
W7x vO}j
我们打开loaderpe，依次点  目录--导入表（后面那个横线）
)Vxt_j4ax]7N \!D&K\&Dh5B
我们可以看到所有的dll，如图，我们假设杀软杀的是wininet.dll2T9r!{kHt2h

0oB;O)|"{i rk 我们右键--编辑--把函数后两个00修改为FFy:e-]7C4m9MgB:e*l
8N:Q7\-EL
这样可以过小红伞查杀。  虽然会出现错误提示F.boWp5o6Hu

Av/u@ ~X 但是不影响木马的功能，不影响上线。Xy|)s u

.p,~$G/~HF 4.dll后面加20 90法过卡巴查杀4x4jZ&U$YWr

-kr8|9V"@%ms!|+C 需要的只是一个c32asm而已，非常简单但却非常有效2qXI(m\m j^x
;QJr|H
如图
GeXc]"Gt4G UsT9u X)\\
[img]http://img3.freep.cn/p.aspx?u=v20_img3_img_0903311123009041_30322.jpg[/img]2E"T/LVNUV7pc Dm
4Uoo7o H
我们可以看到，
,e&YCF/EU$~W zf|7kJ)u
在ntdll.dll后面有一个空格和一个问号   对应的ascII码是20 90 o)xC"U
C(G

.[u1NHD5La j 这里假设卡巴杀的是ntdll。dll下的函数ZwUnmapViewOfSection:v(eLr:J{#?
'm;{4\(Dhsb)y
我们只需要在他的所属dll后面加个20 90就可以了}oc~d;v&EV`-Vs
rgPgdY&`({
卡巴目前还不查杀此免杀方法
y4mkE9\%E+N
'[^_,S3?p1o6\!|QX
J@
RC4e4n `/i&V9\:X 唧唧歪歪这么多，打字有点累了
?3q-FS.W(}e )w$lK.c0O"f?
以后有新的免杀的方法我会继续公布的。暂时先写这么多吧。 Z8u@ SH0Q
(O^ZH j%D6X
[[i] 本帖最后由 1335csy 于 2009-3-31 11:35 编辑 [/i]]

查看完整版本: 木马免杀之免杀输入表篇