|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
原创作者:1335csy [3.A.S.T]% c" g1 A E" j/ q# c. l9 N( {( Y
1 ]$ [0 W( ]4 f5 W y7 ]
信息来源:3.A.S.T网络安全团队 ( www.3ast.com.cn )
! G( R. W, q3 r8 `! P2 U
1 j6 ?5 h1 s. U" l% w% K来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。
6 b$ }" g$ a4 s* e0 \
/ e) p! `. ]; Y5 E" X/ ] c2 e" s免杀也弄了有点时间了。。现在分享下我的经验。 p' O) z3 f! l- Z r8 M% s
7 {3 M- A: y5 o
首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)$ }) v2 R! f! Y; I% c2 k$ ~' u1 H
; V. A4 P5 ^1 A9 ?/ a) ~2 w修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。
5 `3 A8 _1 V8 ^4 G8 q
5 c }0 }0 e0 u7 q# e+ Y4 W& e第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,% o( Q5 u, q" b- m) z: ?8 k! ]
! M1 ~* U, i7 m- Z* M
再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。
( r7 n, f8 I' k3 L) w( R& `' f
) D" M% k$ E" }0 g) T很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,1 Y- A* M2 k8 k7 P! ]6 q) h" x. q
" L" {, S* \! k% a' P2 }
其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。5 J+ e: R6 u7 z( J$ e+ e$ u& a8 j3 T
9 l q; \! Q1 _* v
顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。
' j8 h) ]; y. |6 B' F7 b5 a9 r5 M% Y% A5 I' K' g, S; O
对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。( t& k8 |" z, @! c! T- @
. z; U7 E. t" ~2 X- q2 m# v对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,: q9 z4 ?- f+ k0 h* W
- t+ S: h/ |' C; ^7 Z* t1 J; H对了,花指令对瑞星不是很管用。
+ `, J3 _! u- l6 P1 k& s7 `" H5 t) r$ f
6 b0 E; ~/ j# a8 G, C, v L6 s4 D0 ~8 h
做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。
9 L( b& a T) p1 V1 ~. s) k% q! r; Z' w' \4 U" I) `% e9 z
我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。& @. c$ u6 S1 c6 m r) v+ d
- Q& Y& n/ E* A7 P' P5 a# h" r1 A0 g对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。6 d- I) s" E% T" W
$ k5 M% _! c' k) `/ L4 g& q输入表的免杀是非常重要的一课。
3 b4 T$ m: D3 n, O: S& F
+ \; j8 C8 \# D6 ~) P常见方法 有移位法。上下互换法。以及重建输入表法。6 [6 I" [) f/ B' R" F
8 x8 O7 W* ~; q( ^6 ]4 R5 z移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。7 }! B5 V j$ _; I+ F
+ D* @) F. ?$ T( N6 x" G
上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。
) }, B% W6 L6 b2 x2 N1 [9 s+ N* N3 y1 E' N0 v/ M$ } c, f6 {1 G3 r
重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。
7 Y' h+ {/ E+ ~5 B; H- z6 j! m
5 @& i# d# D. u% e2 ^8 i$ ~我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。
6 e( F$ [1 H* w
8 d# p7 u- g& s$ }# t' l这样免杀的效果不错。。。
% [& j( r: S6 B
! ]$ S1 R3 M$ H" t关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。
' c* l: h( g9 [8 I2 w* t% m4 _/ J0 h- X; o+ s6 K
什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。
9 e5 G& q8 W- P& T7 J
& g2 ]. Z2 W/ J7 s大家多多了解下, 免杀不是很难的事。。% J' @+ n' A$ n$ ^1 Q/ V4 [; e
4 H! ]+ o; [4 M+ n& v2 x1 X. G
此文仅写给新手朋友一看。。老鸟飘过。。 |
-
1
评分人数
-
|
发表于 2009-2-16 20:17
| 
发表于 2009-2-17 15:05
| 
