|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
原创作者:1335csy [3.A.S.T]
0 z2 {9 j1 p+ z0 L% q9 y6 v5 d- w- F0 }2 E7 j: K: S6 S) g: h
信息来源:3.A.S.T网络安全团队 ( www.3ast.com.cn )! r1 _$ A5 l) m
h" C S; e4 F7 N: N9 z
来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。
& @ y( `! r: r7 o
3 w6 p0 M/ `+ e H* R1 v5 S. d免杀也弄了有点时间了。。现在分享下我的经验。
! ?' U4 ~3 E0 Q; Y3 }, q3 c* U" P3 g. C2 o c3 o2 l
首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)
" L. {7 @' t6 r$ k" k
( J2 O/ y s: ]6 ~2 Z' Z修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。
1 j9 w' b1 {- t, q- @ I
2 v* d7 w) Q. f* y; }第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,
2 C, Y1 \5 Q; N+ k' ^) q L! V( d6 h
再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。
; N0 G: J7 [; }3 J
2 c- F1 U2 ~! O很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,3 {/ j! q& w' w7 |0 \' p
5 M+ q: M' t4 ^3 a3 v& A8 D其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。8 W3 b w ]0 ~: q" W+ U9 T& c
3 a/ K# ]4 l7 N; Q顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。& ^: B1 O+ _# Y5 \
1 @- b5 w3 z* H$ _. i# o$ f
对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。
1 E2 c+ F& r. ^+ l: q4 u& e
; K0 d) w, k7 w: u" s对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,2 {! {# M% ?# S4 v9 U- W* v. V
) Z8 j: F. N8 P" O对了,花指令对瑞星不是很管用。* a: `+ R7 J0 K3 W0 A! P2 Z
1 t+ x( ?' z- W" C3 C9 s2 v' h
4 r7 }6 B+ d* |/ v做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。
8 N% M& k0 d% k2 j' B
1 B" w& b3 V5 c2 I! D- t4 I我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。, I! q# Q3 N& C- m
4 Q7 a8 ?; C% ?: M8 p$ d
对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。
: s* b' o: h5 ?
' T8 x: i c! X+ y8 ]1 K3 }6 W输入表的免杀是非常重要的一课。
- H0 B0 P8 m) ]1 d0 [- u$ Z
. H" C$ z5 L8 W: y+ y! t% { S常见方法 有移位法。上下互换法。以及重建输入表法。/ M1 y! W4 F. ] e) T9 {/ ? r9 ?
" V% Z0 @) Y ^0 n
移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。
8 ~* |8 z" k7 T% u! q9 s) A4 O: p" U- b! B# d: M' O
上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。
4 C; m2 E+ f$ p# K% B/ c
+ P" }4 `* G9 V5 w/ d( K% A d重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。- M3 w0 ?; d3 F' t v
) V7 m! o1 p0 S ~5 W我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。 F A0 P8 g6 g: _0 @
- _3 |1 R# H e( m8 w P6 ~' H
这样免杀的效果不错。。。
7 M/ |% a u# V4 E! q, B4 p+ V0 M& e7 b% U% k( O: A6 z0 l1 V
关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。' @: k: z# c3 ^& Z1 E( ~0 W/ N1 Z6 R
4 Q+ H6 X8 }4 z- G e& N L什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。
5 v, p+ f8 |- x% Q3 r
" N& `1 S* d/ V0 s大家多多了解下, 免杀不是很难的事。。3 V1 O# _2 o3 h9 [
D2 v7 u8 n7 [9 _3 s2 o此文仅写给新手朋友一看。。老鸟飘过。。 |
-
1
评分人数
-
|
发表于 2009-2-16 20:17
| 
发表于 2009-2-17 15:05
| 
