[原创文章] 个人免杀经验分享

经验, 分享

原创作者：1335csy [3.A.S.T]
5 D) `' K% R+ n8 B) T5 x3 o) |3 L4 ^. u* P2 J+ r' e
信息来源：3.A.S.T网络安全团队  （ www.3ast.com.cn  ）0 I; U, A# |% f/ b) P  h
' A9 h5 C% @5 C2 O! q4 ]
来了3AST很久了  也没有写上什么有点价值的帖子，今天这个帖子算是抛砖引玉吧。。

免杀也弄了有点时间了。。现在分享下我的经验。6 h& j/ f- N* S5 Z3 j
3 W) I$ q7 B* g8 B3 F; X
首先建议新手朋友要学会定位表面特征码和内存特征码（定位方法有细微差别）) i, s1 a4 ^- V# l2 G' q* l* l

修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。

第二个是要学会写自己的花指令，不要以为免杀怎么难，多么难，只要你会一点基本的汇编，+ B" g; B' O0 g2 F1 A' X! a: y, {* `
) [  g( ~: v0 s3 @% {6 ~/ }9 \% Z
再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。7 c! N6 @- l- ]3 c% N; {, E/ W
$ I! e9 K) M  {! @! L$ R' m
很多新手朋友曾经都这么问，什么是花指令？所谓花指令，就是一些，没有用的指令，' T! \$ |2 s1 V

其作用是干扰杀软的查杀，写花指令最重要的是维持堆栈的平衡，很简单。

顺便说下，花指令对卡巴有特效，但是并不意味着，一个花指令就可以把卡巴斯基搞定。' d5 E2 s& \9 [( }( y0 c, c
  ^, O, n4 \$ z
对付卡巴斯基，需要多种方法结合，壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。: V( L1 o( g8 W6 Z
2 U: F& A  S* q4 L/ H( H' N
对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候，修改特征码对付他效果好，' m' P2 y$ u" ^2 e# e

对了，花指令对瑞星不是很管用。1 o2 I! k6 R4 [4 w6 v5 ^
, h+ |+ f# G$ l, N. n  |3 t

做过NOD32免杀的朋友都知道，NOD32的特征码经常定位在输入表上。% B6 h+ Z$ Q2 B/ ]+ n8 K
" o" X2 L/ J, |; R6 u1 f# ]
我们怎么看一个杀软定位特征码是在输入表上呢？很简单  你把定位出来的特征码放在C32ASM里面看。
$ ?4 v' w9 [6 j" D) _* P# O
对应的ANSI字符是在一些什么DLL后面或者一大连串的字母后面  这样的多半是输入表了。! t, g& t$ ^( }
5 ]% I7 K# g; U" K8 l7 ~
输入表的免杀是非常重要的一课。

常见方法有移位法。上下互换法。以及重建输入表法。
; d9 B1 }5 T' e! S
移位法就是把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。
* }; @! U4 N. p; b3 \' v1 \
上下互换法则是再找一个和我们特征码那一个同样字节的字符串  互换一下。但不是通常都有用。4 Y7 ~. L8 I/ q; g$ I1 l

重建输入表则是免杀输入表效果最好的了。一般的木马都只有一个输入表。% y: v! x5 I5 G& y! e

我们利用ImportREC来帮我们的木马重建一个新的输入表  把旧的输入表删除。。3 s1 e3 |- j1 p+ s0 g, W# P+ W+ z
8 F# e! z5 ^0 n* l( _' C: P
这样免杀的效果不错。。。& g* r0 t, o+ i* I1 S0 X/ x

关于免杀也就这些了，这也是个老生常谈的话题了。说来说去无非也就那几个方法。0 ^/ Q* F" b4 g6 O8 f
7 E7 ~7 @& i5 W
什么入口点加1啊，区段加花啊。。修改区段名字啊。。。, |: l  a0 c9 G1 ~  ~2 w
0 C# \; O6 S3 ^/ Q
大家多多了解下，  免杀不是很难的事。。; Q! z1 [6 l7 Y' ~! Q; C7 o

此文仅写给新手朋友一看。。老鸟飘过。。

1 评分人数