|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
原创作者:1335csy [3.A.S.T]$ L7 y" i7 W, y
/ @, `4 C4 K/ `& l9 j- S: [. i信息来源:3.A.S.T网络安全团队 ( www.3ast.com.cn )- d% r( v' K& b0 E7 K
4 A( r* |" t" h来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。! k) C2 v0 ?. k. p& |
# f$ Q/ J9 v7 J( {, t0 Y" M9 D免杀也弄了有点时间了。。现在分享下我的经验。 o. f8 Q8 j6 Q
4 ]6 L- C# O( ?& `4 i3 T首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)
% e! E5 E" r& T* n
7 M. [; m0 A y9 \2 J修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。
0 g+ `, W( R# C
4 J& K- c+ @5 `3 j. l. |! ?第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,
+ U. g h* e; e0 R: o. y- G
& N$ ]! R- G7 b; s2 w再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。
( p' S2 i1 }, W) S1 M6 y$ }% h- G( H, _9 ?1 H( t- h3 G& \
很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,
3 {8 A% m+ d! g+ c, y% F0 ]
! a& r ~3 G$ {8 _ }其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。0 x% ]5 t) v, o: q7 ?) K
q( l/ @9 q; I. e顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。( l$ f( p0 p- L; o
! P( }, s5 C z2 b对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。% m8 l% K$ ~ E; ?3 n
6 e7 u; K* F8 u% n* U3 a1 R
对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,
8 l7 n: u. Q, _& n* y& `8 u5 a
* N. z* L) P! }# q6 `对了,花指令对瑞星不是很管用。8 `2 N- @$ W4 [1 ]# Z) a
4 \! H* M6 P0 | z
$ C. Z% i4 @; ^" G9 x做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。
( m9 Z* z- M5 A# N/ n, {2 m& F& K
) n+ A: K! z" Q; K5 [我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。# W. t7 L @# f P, Z4 x
|. D: P# n. e) d! `- G) d* t对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。
2 P8 O, v$ G" \% U. P7 m. Q9 S: k. Q' W* k9 H w0 y% e# l
输入表的免杀是非常重要的一课。
) s/ b+ F4 K6 I( B. E8 N$ t
- U/ d8 t: a+ |" M, y1 @7 U常见方法 有移位法。上下互换法。以及重建输入表法。
& x* X8 X$ D7 S( u8 h
$ V% x6 o7 ?' B/ j# t3 N2 d移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。/ Z$ ~; O1 k$ L; P; Z5 s+ i: z8 b
1 T) e. ^5 u% K" o6 [$ R E上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。
& G; R T1 L' `4 \1 V) Q+ M! w
7 l4 c6 {3 D/ t* E! Z. c! n! v3 c: K重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。$ O' T( L! q- E: j2 E& R3 C
+ l5 P V# X3 h& B5 M我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。
6 I5 E& N+ j% t: P) {6 J
2 f+ K) i1 t: [/ k" d6 |. g这样免杀的效果不错。。。
( }3 j; \4 @1 f' c9 P5 V+ p* p
3 s: U. B& ~- b4 @- G关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。
. v" _7 H3 Q2 |" v
, p2 o6 C7 a6 ]" x! K什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。 ?; G' d$ N- Q1 y$ m/ _; w2 l
! i( B( C0 U% A% y$ ^" v大家多多了解下, 免杀不是很难的事。。( \: p8 U/ d0 ]/ _: i; D
( h/ M, u0 i* F* z) I
此文仅写给新手朋友一看。。老鸟飘过。。 |
-
1
评分人数
-
|
发表于 2009-2-16 20:17
| 
