|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
原创作者:1335csy [3.A.S.T]
0 B" T) s" t" W; z! J- J
+ ?4 l! V- v+ N信息来源:3.A.S.T网络安全团队 ( www.3ast.com.cn ), o1 [2 V/ a& e: B
$ k6 {. Z8 h9 |; U+ ?
来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。
$ G5 u0 q5 V7 L, l8 {
" ]5 K; g" B+ T免杀也弄了有点时间了。。现在分享下我的经验。
+ d& N- C, M' [$ v" O) U) P
6 V0 L4 w' j2 k4 E首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)0 H3 j6 N7 a9 l- B1 _
7 H9 o0 E+ ~# a0 C
修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。* n0 s" w, o6 U2 H+ g8 O' C
/ N( o2 X# T4 }$ D1 u8 Z* H" A' ~
第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,0 I4 M3 w6 W; W0 g" e
$ |& @* d7 N/ I- @再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。& u+ L- K' K8 H- i+ S d- q
$ `! @2 a; g3 O z
很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,
& y3 L# P( J0 U) k R0 s4 L2 u3 t9 i' y
2 }0 }7 A2 X& [0 I9 f/ ?! \其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。% \ J ^; h2 U8 S0 N
6 `) R8 N5 h* v5 K顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。
8 i9 f* M$ G; `+ l
8 r7 Z6 _& q; C对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。
O/ h& s8 O7 l% q. M3 k# B4 f& ]6 i. ]2 L, c$ f0 I: U" p
对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,
& d" {0 M& I# z$ f( x0 [, v& m7 N1 L# a/ X \: @, F$ i
对了,花指令对瑞星不是很管用。
" L7 [& q* B7 A% i; E7 J8 e, C% J: A3 L' M$ U6 I
9 n" _3 w( s5 K( w2 F+ s
做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。
% _" @4 H+ l; w ]0 a$ X0 Y2 Z S0 T" ^, \. T% K# l
我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。
" ^8 C6 H" a3 o0 k3 h) E6 i/ m [4 n+ N8 ^5 @
对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。* M! j9 l% z9 A3 o9 v
: ], a5 S4 s5 L3 T1 b
输入表的免杀是非常重要的一课。 k2 w2 W2 Z" q/ [: ~! F) t
3 q9 j. r; [' [常见方法 有移位法。上下互换法。以及重建输入表法。
" [- S" Y6 V8 [3 Z; i
3 D5 h' Q6 ? }) \/ y. ~& W移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。# Y S4 {% y, z
# t2 f: F$ U% s( r% c, c上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。
/ |; b( B+ @' R; n4 Q5 C! A* N; P9 s9 l8 O+ ]$ t9 a7 x* I9 Q
重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。6 D& v8 ^) S" Q7 |
0 y) N5 A8 @7 n8 {3 l我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。3 }8 e$ U. l6 @+ t4 {! s) B4 _
% C5 I, g, L& R5 `
这样免杀的效果不错。。。
: B& V2 x/ q6 w! N8 X) i
+ B/ W$ W" p" N! b/ d. O关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。
2 P H( ~, J+ {( `$ d' \4 Y# m' H" G8 Y& R
什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。 l) P. ?# D% w( [. [+ p
, J- N1 E, P7 m大家多多了解下, 免杀不是很难的事。。- _4 o: ~0 ^: Z% C# r! s) o6 e4 Y
9 ^/ ~1 @2 h4 G: j7 D* P. I5 l此文仅写给新手朋友一看。。老鸟飘过。。 |
-
1
评分人数
-
|
发表于 2009-2-16 20:17
| 
发表于 2009-2-16 22:44
| 
