[原创文章] 个人免杀经验分享

经验, 分享

原创作者：1335csy [3.A.S.T]# I: \1 J+ j+ n: j; `
$ _. n& u9 L8 m# T3 l( S  T) u
信息来源：3.A.S.T网络安全团队  （ www.3ast.com.cn  ）
# X* V& H  I8 M$ A
来了3AST很久了  也没有写上什么有点价值的帖子，今天这个帖子算是抛砖引玉吧。。" P% n, M. e$ T1 M5 A# [2 g

免杀也弄了有点时间了。。现在分享下我的经验。  s% R; g  f: ]) ]. G

首先建议新手朋友要学会定位表面特征码和内存特征码（定位方法有细微差别）2 K. m3 ~2 |' w9 B7 u8 E
5 |' _, P( Y8 d* c8 U( K
修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。. g! F# |* ~7 N( m: ]2 [9 Z& ?
: r3 C: j  Y( y% E1 K2 M* d! x7 t
第二个是要学会写自己的花指令，不要以为免杀怎么难，多么难，只要你会一点基本的汇编，

再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。2 F2 R* n3 }1 X. G, q) g

很多新手朋友曾经都这么问，什么是花指令？所谓花指令，就是一些，没有用的指令，7 d  Z$ ]' m4 \/ i
8 F( V- a9 u) u& u. {7 H( A
其作用是干扰杀软的查杀，写花指令最重要的是维持堆栈的平衡，很简单。
5 B, S# Y: [/ B3 \1 _( W
顺便说下，花指令对卡巴有特效，但是并不意味着，一个花指令就可以把卡巴斯基搞定。
$ Y8 T& E, x, J4 T& q
对付卡巴斯基，需要多种方法结合，壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。

对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候，修改特征码对付他效果好，
5 ~5 q5 |9 e) H7 N% |# i
对了，花指令对瑞星不是很管用。

做过NOD32免杀的朋友都知道，NOD32的特征码经常定位在输入表上。6 H7 c/ `" t& ^! o$ t

我们怎么看一个杀软定位特征码是在输入表上呢？很简单  你把定位出来的特征码放在C32ASM里面看。
5 u9 \% Y0 l$ x* i: y( L
对应的ANSI字符是在一些什么DLL后面或者一大连串的字母后面  这样的多半是输入表了。
- U4 u  h% D& O- N- m
输入表的免杀是非常重要的一课。 . Y' c: \* G. |+ O3 e4 T. Q
" S- Z% n+ Y0 d* b, j# m' N
常见方法有移位法。上下互换法。以及重建输入表法。
2 _& `) K" [/ i1 F% [
移位法就是把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。
/ ^/ i" j' I" u5 U
上下互换法则是再找一个和我们特征码那一个同样字节的字符串  互换一下。但不是通常都有用。
4 e  s, I  l% p9 C& c7 y
重建输入表则是免杀输入表效果最好的了。一般的木马都只有一个输入表。; M8 o! B- m* M& V/ ]0 n/ q
5 V  ~- n; K2 `8 K6 b' X. r
我们利用ImportREC来帮我们的木马重建一个新的输入表  把旧的输入表删除。。& G6 w/ C( k9 ^8 c

这样免杀的效果不错。。。8 m# K0 Z% g, g

关于免杀也就这些了，这也是个老生常谈的话题了。说来说去无非也就那几个方法。3 F4 N. E( L/ t* l) H, t& _
+ B) f* L/ q6 |; L1 S/ m
什么入口点加1啊，区段加花啊。。修改区段名字啊。。。
: i! F" x: c$ z! l2 J
大家多多了解下，  免杀不是很难的事。。% j; M7 V6 d& M6 k3 F  o+ W4 L9 t6 I
+ ]# B& m' G% F9 ~7 y+ `) G9 F
此文仅写给新手朋友一看。。老鸟飘过。。

1 评分人数