|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
原创作者:1335csy [3.A.S.T]
! _+ f9 Z% S8 x; K' L8 r2 ], v, M6 I# M. B2 V
信息来源:3.A.S.T网络安全团队 ( www.3ast.com.cn )2 e* X1 K9 S/ j! l* t
2 x2 e/ u. I0 {来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。8 U5 f- W2 {. n$ N5 C y, C8 u/ \& Q; t
( y. a7 R7 O# G) }免杀也弄了有点时间了。。现在分享下我的经验。
Y; H3 r& e# X. g. I+ o
5 E) ]. _3 g5 D& @首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别). A! p: P( @2 j; ?. j, i% h+ y
# I5 ? \) r7 B2 u! X9 `5 o' W
修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。* o) F- `! F5 W, B
/ z( q0 Y' C1 ]1 }; F) n第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,
+ K- d' T$ r9 `; j! R" I4 Q# ]% f% f T% p! _ L, W
再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。& x8 K7 k2 s+ Y+ A' b
5 B+ c3 H4 T) Q4 t; r很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,/ E ]8 v5 M9 n7 S6 J$ F# E4 n- {; D
! M& _7 n3 X4 }% g5 g其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。
# O1 W# f2 q' c ^) S. Y, d
+ n! ?+ h* I, m/ q( M顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。4 s/ O6 j; K' w3 W$ c3 n
% i, X4 E$ ~9 P' |6 t$ q) d2 t
对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。
, [6 B; a& x8 ^& z( X5 x% o* x5 K2 d. Z$ y; a3 O% c! d
对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,6 k; i8 Z) V* G3 ?( O
6 h7 k+ j" ?" | w' V/ e0 P8 s R* N
对了,花指令对瑞星不是很管用。
: C5 Z4 a9 {7 [9 D
# ]. A, J/ \; y7 E" ?# H. B5 b
. F, d+ p" X4 ?8 L做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。9 n! H0 M/ J/ \0 t% ~- r. d/ z$ o
# {& k7 B+ d. f0 G T$ b. q我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。
C1 @: @. Q7 E% ^& q; K7 k
3 j+ j5 v7 P: X; J+ O3 P对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。& g& m$ m5 P( U! @8 i
% ~1 [/ j+ l7 z( H输入表的免杀是非常重要的一课。 * g& u$ Y% e# y, b
1 T7 @: f: S/ d! O常见方法 有移位法。上下互换法。以及重建输入表法。 m! @/ w; [0 Z/ @" Z' Z
% K+ i% F3 A* G/ ~移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。: g9 j3 ^5 ^" z/ `, m h7 z
& C; t- P% J( U7 B+ L
上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。, i- ^. s- `* Y- l; I j
4 h/ ]- B6 U3 ]; L* ~- u9 }0 g重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。
; G' Z: E4 ^7 d8 @7 w" w1 F$ \
) I* v% F# A q9 {7 ^我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。
6 G% k+ `, ^' { y( `5 f7 A( @- n
' r2 H5 e+ y0 @1 W6 A这样免杀的效果不错。。。
/ }& V) e5 Y; z9 K Q9 o* e# [' h4 N2 E; U$ J: h
关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。8 |8 n0 u g2 O
3 k0 o$ K$ J0 }; Q什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。
, m5 F0 M" k, W( l% k& n0 I* W ^
# G. E- g4 ^' m2 R大家多多了解下, 免杀不是很难的事。。
' P: v+ L8 L" M! u5 ]8 V! S( f3 A- t% O1 N6 I+ c: m) o6 O
此文仅写给新手朋友一看。。老鸟飘过。。 |
-
1
评分人数
-
|
发表于 2009-2-16 20:17
| 
