标题:
[原创文章]
个人免杀经验分享
[打印本页]
作者:
1335csy
时间:
2009-2-16 20:17
标题:
个人免杀经验分享
原创作者:1335csy [3.A.S.T]
# l3 ?: I* W4 A; k
8 C% Y8 y, y8 v9 a: [
信息来源:3.A.S.T网络安全团队 (
www.3ast.com.cn
)
6 P" K' G ]( y
% M+ n! K5 k6 @- q( ~9 J1 I
来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。
: N+ j1 Q# C0 P, N& j' f, f8 q8 T+ D
& j; S) j1 `/ x9 O, |2 [% s! F/ P% [
免杀也弄了有点时间了。。现在分享下我的经验。
N( D- F1 U( n% y6 q5 n7 D$ P) u/ O
$ h" E& V3 b2 V$ x S# S t/ |
首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)
; j, l' a2 A% b- N
: p' P. z, x, B6 R# o* l! E
修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。
' n& C' g7 [: s- k$ r; w
' m/ S: n0 I' f
第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,
8 H9 M$ g- f' B% s, Y
m! m& b- s( B9 c* G) |& p3 S% k1 ^
再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。
& v0 ~; I4 i: a% B
) ]/ c' N+ M+ n, @% `
很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,
4 |3 }* u$ c6 f6 D# ^3 f
L8 @9 \# W. `* j0 l+ _
其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。
& o% r$ @6 l% M$ N4 `! f
0 H3 t8 L8 l) l
顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。
0 ]) m/ h8 |, \. M- S C( J( t
8 l: _; {6 o1 Y. D
对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。
, k! W: L( j. g: U
( U5 M S( E5 m5 i% Q
对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,
7 v4 P* b- w0 l; W/ {- x
) G( J+ ?6 D( L; m9 C2 r) }4 Y
对了,花指令对瑞星不是很管用。
4 a8 u, O4 _$ O# b: ^
+ Z8 m5 {+ h6 P+ R) \
2 b, e' q- c9 v B
做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。
+ I4 W6 d$ g9 e9 Z! o$ ^3 k
7 g' j6 O+ Z- _- {8 A: {
我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。
+ f# ?& u6 b5 A9 p
$ g8 t. d! R, n5 g
对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。
0 o; q4 }* z6 v3 x; h3 p
1 w, f+ r) p/ a0 I6 R
输入表的免杀是非常重要的一课。
1 D2 u& W) c8 |" [' q y+ H* u" x
7 B5 c- X. s* j+ l# W* x
常见方法 有移位法。上下互换法。以及重建输入表法。
7 M" m/ h. P2 U- U' z: X% I! `2 w( |
3 A" ]4 q& i# T" F- X( [2 F
移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。
1 D5 O& g; Q; w: J" f
' \3 z) [$ X/ _4 Z; q
上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。
2 l. G' B9 m4 Y: H/ _/ c
y/ J q1 e/ c; t$ X9 l+ X
重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。
6 Q/ B* @' c& i# M" q' }2 q& b8 S J
) ^7 g' H* q4 N: J) s/ O
我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。
) O( R( l p! v+ d, W: y6 K
/ J8 N {) z0 m' }
这样免杀的效果不错。。。
& B% W; p, l$ g6 {
- |/ H5 e0 @/ F# @
关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。
2 w {3 h! b& C2 R0 h' Q
$ c! ]1 _8 t9 Z- S4 h4 Q* {
什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。
3 H4 O' H. `5 J
! B: O. `- ^+ n! r$ j* f* R& S8 A
大家多多了解下, 免杀不是很难的事。。
" T# S4 u4 y. [" \/ t9 d! p
; L p8 r/ N$ J. e( F
此文仅写给新手朋友一看。。老鸟飘过。。
作者:
lijinquan
时间:
2009-2-16 20:33
认真学习一下
作者:
残爱
时间:
2009-2-16 22:27
认真学习了....辛苦辛苦!
作者:
yyw258520
时间:
2009-2-16 22:39
是得多看看汇编了~~呵呵~谢谢了
作者:
柔肠寸断
时间:
2009-2-16 22:44
好文章,不错,总结不错
作者:
paomo86
时间:
2009-2-17 11:06
受益了`:handshake
作者:
1335csy
时间:
2009-2-17 11:40
谢谢这么多人来捧我帖子 没有想到啊 呵呵
作者:
hilarylove
时间:
2009-2-17 12:16
还有我小希呢,1335,多谢你一直以来的帮忙啊。
作者:
柔肠寸断
时间:
2009-2-17 15:05
1335加油哦
作者:
小糊涂虫
时间:
2009-2-18 15:23
这些貌似是基础的东西....
欢迎光临 【3.A.S.T】网络安全爱好者 (http://www.3ast.com/)
Powered by Discuz! 7.2
