|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
原创作者:1335csy [3.A.S.T]
4 |4 d9 {2 O4 C8 X6 K! B% L0 e- t
信息来源:3.A.S.T网络安全团队 ( www.3ast.com.cn )* z+ P. {- i8 Q V
) q; b E& }) a0 e' ]; {$ e& x
来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。
0 `) [/ r* ~ e/ ?: X8 E3 B& S0 \9 s' V; B8 N6 L
免杀也弄了有点时间了。。现在分享下我的经验。7 u( U/ c* J% `
( r7 C5 p" N6 q& S( K3 u. W& g首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)* {8 e' v! s; }9 i' E
& B( t0 c2 `5 ~ N, x0 N, J2 u' b修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。6 V5 j1 s y% K; h9 U, _
, i- D0 g% W; U
第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,
! J6 L& z7 q0 @& U; O
# p8 {/ ^% e! d; i$ b8 Q再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。- \1 ]6 G% Q5 h
+ V9 S+ I" f! G" f( u很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,- o- q4 r$ q* H" i! ]1 T$ H
|% u" D9 L1 [; A \ ?9 Z) A
其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。
: E: H$ c3 Y" K f# {# u+ y; d, w6 v; g. z) Z! f, F
顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。. s- ]4 \5 P! V0 D* Y! ^
9 F3 T7 ^% N" |, h对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。3 \, V( {. W9 C& G1 f% t
* n1 c, \( _ m1 k4 D: D* K9 C- U对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,5 s: n$ N6 c% _) y j7 H
8 o6 e4 H' X, s% y8 J; t% ~- `对了,花指令对瑞星不是很管用。
; n* X, ^1 k3 m2 _4 O3 g& ^- t1 l6 Z2 G5 O& e$ U
2 K( T2 j$ `4 Q$ `做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。
# k% g7 B. B& }( c- s8 O
* W- K9 v/ \9 r9 K( B$ n# {! @7 a我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。* {% x$ u7 M2 a- v. a& X* S* p- u
4 P" c" y# N$ O# J4 ~/ z对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。
8 C4 ~2 V4 @- j, v4 A8 P
3 O7 |! s& y$ D( z' I4 R输入表的免杀是非常重要的一课。
% J8 J! U$ ^& g. B) }! T0 S8 z
/ F- S) ?" v8 e常见方法 有移位法。上下互换法。以及重建输入表法。1 `# d& \% b0 q- R" A# z$ K( ` C
( @. T- `) S L `移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。) L6 |; }! |$ j, W" {, e6 ^ ~; B
/ O9 ?3 A/ x) z上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。
* E, `# R1 F+ M3 k2 y# N+ Q1 D- w7 R( E: M
重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。/ E5 O3 z% Z4 J( Y
4 _$ m7 T$ }: e* a我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。
- i' _/ ], b: m, T% n
/ Y+ f/ k5 d( O5 W) e6 T8 i @这样免杀的效果不错。。。
[ ?* |5 y. i* M4 p' H' Q0 l X/ e f( A6 d2 a( ?/ Z
关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。: W( m* g/ L- S7 s2 ], C
( D$ k; j6 f; N. P. a什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。0 c' k1 q; {7 F: r6 `6 S; R
3 K4 y8 q! e) K6 I3 a大家多多了解下, 免杀不是很难的事。。
' G" S. u) T; k- Z9 q6 D' \) o% ^& F5 v
此文仅写给新手朋友一看。。老鸟飘过。。 |
-
1
评分人数
-
|
发表于 2009-2-16 20:17
| 
