|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
原创作者:1335csy [3.A.S.T]
( ~$ @! O& V, A+ E
- m l2 o# o5 D: _- n信息来源:3.A.S.T网络安全团队 ( www.3ast.com.cn )
& D* S2 n# a. V; X- _' G3 O3 J' W( a: a9 r, y! Q$ O
来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。
6 H, X" I- l) U% P1 h" G! D( C1 d0 { M
免杀也弄了有点时间了。。现在分享下我的经验。
- }/ ?. e' O3 e
: t5 S4 ` u6 x. g* F3 Z首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)
8 b7 t! r) e+ A- |% z$ Y$ g, x# p8 J1 n" [( ^( ^" F: j
修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。, C4 N. v X. @+ ?
) s2 C4 H/ n: F; s* s. S5 O第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,
3 s% y# W9 @# N$ B+ K$ q
0 |" {7 ^7 i' j9 ?6 X7 O, D再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。! {* ^- q$ x; f" c5 y
/ i" w8 j" e" B2 R很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,; |. E/ N5 s0 ^$ _
; Y0 W ` Q; G* X+ v" k, H* N其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。1 x( P7 n7 T- D
$ l" p; ?$ b" }2 ]6 `
顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。
( ?: @ z) Y$ q2 f
. S2 p' t% x$ d/ {对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。
$ H: m/ A$ b! X- J5 d" ^8 a
1 s& U, e/ r% M$ X. {& l对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,$ |# c& g3 Q }! T3 }. E2 Q' ^. z
. l- T4 m O+ n0 l- [对了,花指令对瑞星不是很管用。
/ S3 J1 K# O# j- S0 E7 [/ T" ?8 c: N. l) \7 u& F1 I
% c. e/ R: c% M( W做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。! C2 ?% e8 q% Q, \$ t
6 H! r' i: D7 O4 y" c |我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。) p/ x! J G# @. w9 q
1 b2 h2 P* Z2 a* }. n7 l+ q: w/ z对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。; e' u! c N F
5 W3 `" G$ N, T0 P9 C输入表的免杀是非常重要的一课。 ! P$ R5 c4 g* S. e$ `( V$ I
K2 o2 V+ Y8 x# @
常见方法 有移位法。上下互换法。以及重建输入表法。
" q: j0 m4 Y9 l6 E7 l$ T2 o' z' f/ ]+ T2 I! ?
移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。. D' ?6 ^* G$ E- ~6 F
r1 G" t7 j9 u) ^. t0 w
上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。
) }8 q; k$ a3 ?4 z5 z( Q
+ a% W" o7 R+ ~- t( _3 j. Y重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。
' [- q5 [- o. H+ O6 g5 K! }/ F" Y# f" b
我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。
+ c' N* i9 I# x" A# h" \6 h9 D7 m& o& J1 `6 ?: ]
这样免杀的效果不错。。。
, a* v) `* B7 x- K- H9 T$ q) q' x: A( d' O/ ?. O: ^+ E
关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。
* O/ d+ D. a* J: E
7 [7 n! X( _4 @$ V; @4 ?1 B什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。
1 ?6 W5 R( G& L: ?2 {' n% q7 y3 F) B, v" u+ | y! `
大家多多了解下, 免杀不是很难的事。。
1 _! _6 D. y3 H* Z' w
( j; ^0 c5 j+ b i; g此文仅写给新手朋友一看。。老鸟飘过。。 |
-
1
评分人数
-
|
发表于 2009-2-16 20:17
| 
发表于 2009-2-16 22:44
| 
