|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
原创作者:1335csy [3.A.S.T]
" z) O9 O6 S& C% V" c
& F6 y% `& `1 B: h% i8 T信息来源:3.A.S.T网络安全团队 ( www.3ast.com.cn )
, G" C6 N9 x% m! Z J3 \% W- p }
来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。
( U" J0 Z9 X+ I& s; i- Q
+ D, E1 ?0 f' G, N% G Y免杀也弄了有点时间了。。现在分享下我的经验。
6 o" _+ R/ \0 G
3 d& ^) Z9 x& E首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)) ], v: u x: K/ `; O5 i
& w7 ]' z* w. I. _- x2 R8 }9 E4 O修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。
- G8 T* `! ?6 ^( \9 b; e* B6 O, \: y$ _# t( i- L: A/ ~4 i/ V* }
第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编, d6 }* Z. z# r' i5 L% g+ ?+ `4 r
: \1 {, g. \7 k* _. n2 s+ x再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。+ G+ S* Z! x# K4 \
) X. |9 K: v% p; s4 W3 M3 X很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,
/ P0 L- F- o# p. M5 y9 j- V8 G8 }# |$ A
其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。
# W! i, k! P, ?! O) T0 I3 H* ^ ?# L3 H! A' ]9 a3 R# X
顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。+ |; B1 c9 X+ ~. L
4 _, `* B" Q" i2 e) e对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。
1 \9 G" Z- s, x+ m$ P% z
6 [/ ~! P: u- f9 ` w3 T: G% y对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,
1 W# A7 [, {2 P- Y0 |
" N& @: S3 M" N' z对了,花指令对瑞星不是很管用。
& }: z3 o, M9 c9 P3 ?; |4 d" z( m: X- A( k8 L: A: i# o
* n0 z/ m3 e( F4 ?% c' }! ], `# }* e' ?
做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。) s' I i3 @* A, K7 E
& ?6 Y7 ]3 U1 [0 i我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。: Z* \, f3 m) @+ z. I4 d Z1 f
. W( k. k0 o N O4 T- a/ ?对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。' t" k5 P+ h% q) h- E
; _. M5 S/ \! ?. z
输入表的免杀是非常重要的一课。
4 {& A) |- ?" t% j7 |0 I& E" j( G3 i
常见方法 有移位法。上下互换法。以及重建输入表法。* M; n4 c0 l1 j' z9 ~% D4 L& m
: t% X: [ r% f! Y6 }: x8 w& f8 O
移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。 I1 M: _ d* f9 G# G
. \4 p# o; s# D& o; A i- R: l上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。
3 f: [3 S! L9 @( K: T
1 [* n- i* o7 j+ L2 I- l5 }* }重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。* E* p } l4 x1 `
0 H. X8 n; N+ L' `
我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。
' P/ }$ I- Z: h- R6 C, c4 Y. s
" y( g( _: L" k5 h" S这样免杀的效果不错。。。
& p3 Q5 S. g$ e+ I- x6 i6 D9 I
% V$ \4 U% R4 E关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。
2 X$ w" O! D% ^* u* ^/ @( ^1 E* B6 s, h# v
什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。
' y: p) O0 ?& i- d% o o
4 U& c- [' G. g6 d2 R" L, [$ n大家多多了解下, 免杀不是很难的事。。$ N. d9 S$ n! [& O8 f6 O
# `! p. ]* V ]& _, U" E6 m1 I$ N此文仅写给新手朋友一看。。老鸟飘过。。 |
-
1
评分人数
-
|
发表于 2009-2-16 20:17
| 
发表于 2009-2-16 22:44
| 
