标题:
[原创文章]
个人免杀经验分享
[打印本页]
作者:
1335csy
时间:
2009-2-16 20:17
标题:
个人免杀经验分享
原创作者:1335csy [3.A.S.T]
7 z" Q4 v ]3 K0 ^& X
& W8 \; {) o) {+ S- s Y: L/ ?& b+ }
信息来源:3.A.S.T网络安全团队 (
www.3ast.com.cn
)
: p7 D, {$ V: G
4 ]* y6 O. Y8 D, x9 y- N
来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。
; ?* b. V% b4 a8 }1 }5 X
: `, _; h) A4 x, h) @
免杀也弄了有点时间了。。现在分享下我的经验。
" B' ]- J3 B8 p* \
/ V! N6 I3 v7 h; s* i* m
首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)
! x4 e- y" X* ~0 w' Q4 @
$ ^2 Q+ Y& Z7 ^+ f, Q: d# V
修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。
4 X/ f3 j2 t5 W6 d7 K1 x
% \% p% u9 g- p% d+ F9 \% O$ P/ r9 F
第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,
, ~1 }! B' E( W5 p
' R2 s @4 A( S0 {
再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。
! R; y6 t# K4 e4 g+ _" b3 L
; L _4 u6 D' z# c" }5 K. J. c
很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,
2 o% T+ Z- B) s0 w3 P
# m% U( D w% N1 ?
其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。
& I6 w: t; j: R- p D2 l& q
, ?6 g- d/ J" h; t8 L
顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。
9 k& Q' ~' F' X; q
' O9 I1 z% ?2 ` t2 b
对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。
- c/ }2 r5 V! P8 h) _# s) U/ f1 b
7 ?( T! L" s3 O2 q
对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,
; t8 v# ?" P) S8 k
. R0 L1 T' z% {( [& H- k6 Q6 w
对了,花指令对瑞星不是很管用。
6 j6 V" p4 [! V/ e& f9 D
m& G1 `/ v. w2 c% j( E8 I* M2 r
( H! s) s! P; T6 l
做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。
, t1 t7 T: ?" d1 z) j. C
+ V5 R- k' m& U% m/ x8 x7 q
我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。
5 {4 i: b) r# p: N, B" i0 U9 A
2 f; J/ d5 N5 C# {' t
对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。
$ k- Y) R& V1 v* ~
& P' b3 V$ J/ [! I. J
输入表的免杀是非常重要的一课。
8 |! _. h6 Y9 b2 B0 h k/ [/ o
9 M8 e% {. r" h
常见方法 有移位法。上下互换法。以及重建输入表法。
r" m: k0 y5 s3 C8 h+ {2 r
# Q/ \# |$ ]$ q5 |
移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。
7 T% q3 T. y: b9 U+ D% X+ A: ?
2 K0 s3 ^0 {/ E& ^
上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。
/ o- O9 ?5 o) X- E! q
1 b# C5 ]1 [/ ?) k6 ?3 @
重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。
' h, n e& H3 T) G
# j6 @+ T; e; F6 Y5 u1 X
我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。
) Y: N' i2 ^: l7 d) K* l0 |
: C# @; m, s7 ~9 K1 w' j! v
这样免杀的效果不错。。。
" O( ]+ M6 h/ {3 c1 ^
; y0 ]" v/ T, |$ b$ Q) o# K
关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。
5 F C$ v( G2 A/ K& A8 r4 W( {- R$ b
/ ]$ K" r# Z6 r1 e+ k! |
什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。
: D. |; u* F7 A8 I5 B& l
" U$ P, E( r+ ?8 B' b; i' |
大家多多了解下, 免杀不是很难的事。。
- a$ S- c6 H6 `5 O; [) J
6 a" O9 H2 l) S
此文仅写给新手朋友一看。。老鸟飘过。。
作者:
lijinquan
时间:
2009-2-16 20:33
认真学习一下
作者:
残爱
时间:
2009-2-16 22:27
认真学习了....辛苦辛苦!
作者:
yyw258520
时间:
2009-2-16 22:39
是得多看看汇编了~~呵呵~谢谢了
作者:
柔肠寸断
时间:
2009-2-16 22:44
好文章,不错,总结不错
作者:
paomo86
时间:
2009-2-17 11:06
受益了`:handshake
作者:
1335csy
时间:
2009-2-17 11:40
谢谢这么多人来捧我帖子 没有想到啊 呵呵
作者:
hilarylove
时间:
2009-2-17 12:16
还有我小希呢,1335,多谢你一直以来的帮忙啊。
作者:
柔肠寸断
时间:
2009-2-17 15:05
1335加油哦
作者:
小糊涂虫
时间:
2009-2-18 15:23
这些貌似是基础的东西....
欢迎光临 【3.A.S.T】网络安全爱好者 (http://www.3ast.com/)
Powered by Discuz! 7.2
