|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
原创作者:1335csy [3.A.S.T]7 O8 }6 ]) l4 e7 M$ @0 a0 i; x
& A \* @" g! e, }0 B* F
信息来源:3.A.S.T网络安全团队 ( www.3ast.com.cn )( Z. m- W; D2 N5 L3 d
6 ]8 ?+ X6 D1 k3 t来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。& l: L/ K7 u% V
3 V) s" L# |: @0 p# F免杀也弄了有点时间了。。现在分享下我的经验。) ?# `2 e' j, @* O3 t
, @0 R' Q6 g' _. ^+ E
首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别) Q) s; \( U# L9 B; p
) F: f9 @* U1 u0 v2 c, v, y( r/ j修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。# Z9 \' I4 \% X8 @9 x& k5 \, w
f/ b: ], x+ {+ x M; ~" s
第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,
+ Y8 L8 ], J7 B9 \/ H0 h' m' a) n2 N
1 J% _0 b. N$ _再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。' r& H- R/ r0 x2 I6 O7 ~. H
$ u7 Z, y# e# o+ a9 g8 u3 O很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,) |6 B( f( t2 X0 \5 @& l; B
6 S8 v6 L: H! N/ U
其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。
8 B1 k) V3 [' r) d$ {5 e/ ^" x4 o
顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。! J5 A: y0 w) V: m& p( m" b
( h# S% Q0 {4 u1 \) `! t9 I5 v+ R: Q+ b
对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。; y$ S, v; Y# }, R( @# d
. V+ z9 a% [5 |3 L7 D4 q2 s/ X& n
对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,
9 _" {4 c3 s; R2 t% y5 `! ~, M% T) W/ K6 M
对了,花指令对瑞星不是很管用。. N& \/ O- x2 k, f6 `
+ S2 W j7 A. r3 i8 o
- k0 t' O$ x0 ^3 x+ h- A做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。
, s/ a0 W: k9 @2 ^5 ~' i4 W
7 w& E2 J3 x! n; D' r" M1 w" C我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。8 @! @/ z0 R k& T7 Q3 L
/ Z3 f( G! U: A* [5 \
对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。+ U; Q7 q3 {; |$ s1 h
- ~. e, n! R6 I. K. e" E& N# d) Q. Q
输入表的免杀是非常重要的一课。
: e" E) e4 s1 g' g" I4 q; E( _* O6 M' I
常见方法 有移位法。上下互换法。以及重建输入表法。
- f$ i C4 g- _6 L/ u7 z1 `6 C1 h$ H' u1 s# l+ S$ j) _4 K3 i
移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。" _/ j- k- U& a9 M( P6 r
* l0 N2 v4 M. ^% R! W上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。2 T4 i! k6 p( N6 L0 e
" i+ k) D% D2 M# l5 u- C* z y. ~
重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。
8 ]2 o1 q) @8 e2 ~. b
+ q) \. |. o7 }: T# }: R我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。
8 S* C+ z' J5 x' ~* R2 z0 i: M/ Z8 D5 F2 H i/ T1 ?0 z6 n4 Q
这样免杀的效果不错。。。2 b4 z( e/ F6 Y) c5 ]. h
: I' W! h s( i关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。2 K7 F( f" D$ I9 Z. m& X1 X
% Q( j" X. c. i9 b6 T g8 [什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。% O0 n( ?6 d. Q+ v
. G* V7 T; ~1 @5 d( S" `4 o大家多多了解下, 免杀不是很难的事。。
$ r2 R( f2 c7 W# _; ?0 f" H9 L" P* R( e' K* T5 |
此文仅写给新手朋友一看。。老鸟飘过。。 |
-
1
评分人数
-
|
发表于 2009-2-16 20:17
| 
