|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
原创作者:1335csy [3.A.S.T]: O* P% l9 S T; |4 [! Q; f
+ L0 f( B; o& f# e0 n
信息来源:3.A.S.T网络安全团队 ( www.3ast.com.cn )
$ V3 {" r7 [% `9 I3 ]+ g% G% n# e! K6 {0 N; E6 \' ?$ ~' y* ^
来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。/ ]1 F0 o0 L; r B
7 j: K; U& w/ w- h
免杀也弄了有点时间了。。现在分享下我的经验。+ o& X7 y( b$ Y: X* P) y; d5 Y
7 }! p5 u* G3 R* p' K7 z首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)
6 E k! S Q9 |1 ~7 j* c o8 u: I. ^( A! l: a5 J
修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。9 w K, j/ {& t( o' Q0 u
& u. \6 {, [5 X" j' [1 J第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,/ m" G; r6 q' t5 l# T
, Q' Z( x4 c7 C3 |2 Q8 [; T再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。7 V4 `, F$ X6 s3 p; K1 ~
4 S1 ^) l, Y7 F7 B; X
很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,7 i, o( {; q! x# q; x+ o
/ A0 B$ p4 F: X: J I其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。
) { U; Q0 k. ?1 V( t+ k4 Q' u" ?4 k& c2 N
顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。9 c# @: F0 Y' U+ `0 u) ^
* h; V5 Z7 H. C% R/ b' N X对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。7 v) Q# U& o5 g. q
! K6 m ?/ R; i& M& |. l U% v对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,! t2 r* F; ]8 t( l, K J6 j- D* ]
3 E& j. c4 h3 z& g9 h Y
对了,花指令对瑞星不是很管用。
2 _1 j" y5 U# a. p5 T! m4 R% I% u3 a) _1 x/ H! k4 z6 q9 D2 k
6 V: d+ s* u3 v0 y; X; ]1 Y
做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。" s* R& I* v0 P* W! B
7 x2 o) ] _, h0 J f. n2 \我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。
& B& Y+ m' C( V
# G/ j. l" O6 Y; C6 i3 J对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。
% T/ F# `% q) j2 b
7 `8 T$ \* Z6 t A输入表的免杀是非常重要的一课。
- f. d; a+ l% }: L; T$ Y8 A: y. D: ~1 _
常见方法 有移位法。上下互换法。以及重建输入表法。
: G# ^* `* a6 K9 Q* m1 {3 s+ ?% x- K
移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。
! {) [9 ?( z+ p; x, R$ @% {, o
$ o( h4 P( p L. B! d/ l+ C上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。
% c( U, {; R$ m
- L/ j% T0 u7 q: {( @重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。; B( {3 d8 u* P+ T
: U: U; C1 r& d- [3 D4 c我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。
2 v5 P @; q! i% F* D9 J
9 Z3 l+ W, Z2 g, Y6 s这样免杀的效果不错。。。
$ H1 k3 P% ~3 J y* v$ G# W
a1 }! S- I" u; z关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。
) z o7 X! a" p6 Y' U
+ {! x# t0 T9 @+ b) H什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。
! K5 w. u+ Y2 ?+ ]
' R0 z& `( I1 z# V" |大家多多了解下, 免杀不是很难的事。。
6 ~$ F4 l$ ^: `2 `5 Q
" o2 y( ^+ Y5 M, A' h此文仅写给新手朋友一看。。老鸟飘过。。 |
-
1
评分人数
-
|
发表于 2009-2-16 20:17
| 
发表于 2009-2-16 22:44
| 
