标题:
[讨论]工程化的免杀方案
[打印本页]
作者:
wlfjck
时间:
2008-7-20 23:17
标题:
[讨论]工程化的免杀方案
[讨论]工程化的免杀方案
议题作者:husheng34
信息来源:邪恶八进制信息安全团队(
www.eviloctal.com
)
说到免杀和杀软之间的关系,就像矛和盾之间的关系,永远不可能有攻不破的 盾 和 守不住 的矛,
但矛有好坏之分,免杀也有高下区别,
有的免杀可以经年累月,有的旦夕湮灭,
究其技术上的原因,排除其它如流传范围,病毒上报等因素,
主要还是免杀方案的复杂度,越复杂的技术,免杀时间越长,
因为杀软工程师需要的调试时间越长,可反过来,做免杀的时间也越长,
所以,如果我们能用效少的时间,换取杀软工程师大量的时间,
那意味着你的软件能活的更久.
//////////////////////////////////////////////////////
如何提高这个比值,我们想想最常用的免杀方案,也许可以找到答案,
自己最省事,杀软最头痛的方法,
很多人会说 "壳",老鸟可能会说变形病毒,可他们都存在一些另人不满意的问题,
针对传统的壳和变形病毒,我们可以抽出他们的部分特点归纳如下:
..................
壳
好处
1:使用简单,方便.
2:通用性强,一个壳可以对应很多种软件.
坏处
1:不能对文件感染软件加壳.
2:自身抗杀软能力不强,因为这不是并不是大多数壳的目的.
..............................
变形病毒
好处
1:可以实现所有种类的黑软,只要你有时间.
2:抗杀软能力很强,设计目的.
坏处
1:编写复杂,调试化时间.
2:大部分变形病毒 藕和性 很高,可谓触一发动全身,很难重复使用以前代码.
基本你化的时间,不见得会比杀软程序少,更本无法提高比值,
不过是化了更多的时间,让杀软化更多时间破解而以.
//////////////////////////////////////////////
我们如果能综合以上两者特点,就能得到最好的结果.
一个能自己变形,并感染文件,的"壳"
针对文件特征码,只需要修改变形引擎,但内存特征没什么好办法
/////////////////////////////////
以下是具体方案:采用分层结构
1:变形解码部份(由变形引擎生成)
解密真实代码
2:PE加载部份.
把第三部的PE文件链,
解压还原,
内存加载,
动态库链接
3:有效的PE文件链
.data
PE1
MZ00012
.........
PE2
MZ000fdf0
.........
PE3
MZ000fdfd
.........
..............
但这种方法,主要好处有:
1:查杀困难,查杀比免杀困难的多(变形病毒特点)
2: 多个软件,只需一次免杀.
3:代码段复用,模块本身可以导出函数供 被加载文件使用,
比如HOOK,隐藏自身等.
4:模块互换方便,传说中的自变形?
缺点也很严重
1:只能加载有 文件重定位 的文件,
如DLL文件,
或编译中添加重定位,
或反汇编引擎 添加重定位表.
2:技术复杂,不能保证所有被加载的文件都能正常工作.
其实一般软件自写壳,免杀就足以,以上方案主要针对要感染文件的软件.
作者:
songzihui
时间:
2008-7-20 23:17
这个话题好啊!
不过有些地方看不懂...阿尔卑斯与八宝糖还有冷苹果
帖子66 精华
0
积分289 阅读权限100 性别男 在线时间141 小时 注册时间2007-11-21 最后登录2008-7-18
查看详细资料
引用
报告
回复
TOP
赚更多的钱
wangyan111
晶莹剔透§烈日灼然
作者:
十六
时间:
2008-7-20 23:17
原来见过 FISHPE大大的牛壳.... 很期待他更新下, 可是....fuck you
帖子8 精华
0
积分15 阅读权限40 在线时间12 小时 注册时间2007-4-3 最后登录2008-6-19
查看详细资料
引用
报告
回复
TOP
良辰择日,预测咨询,公司改名,权威易经
洋洋洒洒
荣誉会员
作者:
li85
时间:
2008-7-20 23:17
我的想法是把代码变成数据.
问题还是出在没有重定位表上.
貌似反汇编构造重定位表很麻烦很乱
这样 就可以在任意位置执行就无视内存杀毒了吧?阿尔卑斯与八宝糖还有冷苹果
帖子66 精华
0
积分289 阅读权限100 性别男 在线时间141 小时 注册时间2007-11-21 最后登录2008-7-18
查看详细资料
引用
报告
回复
TOP
husheng34
荣誉会员
作者:
江湖
时间:
2008-7-20 23:17
dll全是重定位过的,
exe编译时可以加重定位表,
不是太复杂的exe,用反汇编引擎,因该可以解决,当然会很麻烦,
代码变数据只是最基本的,
代码->数据->随机加密->随机解密(多形病毒)
多形病毒在像壳一样,加载dll或exe,
查杀会比免杀困难的多,免杀时间就会很长.
帖子78 精华
2
积分3543 阅读权限100 性别男 在线时间112 小时 注册时间2006-4-30 最后登录2008-7-13
查看详细资料
引用
报告
回复
TOP
少女暴富的隐秘(图)
洋洋洒洒
荣誉会员
作者:
carsoom
时间:
2008-7-20 23:17
壳要有通用性,还是应该把exe当作没有重定位表的.毕竟很少的exe在编译时候会加上重定位表
我觉得将代码变成数据,虽说是 最基本的,但是如果把这个"壳"分成两部分的话,代码变数据占一部分(dll不说,exe确实....麻烦啊,当然高手的话可能就不觉得了吧)
第二部分便是loader了.多态变形等等
请问"多形病毒在像壳一样,加载dll或exe'是什么意思?能说明一下吗?阿尔卑斯与八宝糖还有冷苹果
帖子66 精华
0
积分289 阅读权限100 性别男 在线时间141 小时 注册时间2007-11-21 最后登录2008-7-18
查看详细资料
引用
报告
回复
TOP
让女孩一夜变的更有女人味
linchun
晶莹剔透§烈日灼然
作者:
飞渡33
时间:
2008-7-20 23:17
特征码时代已经过去了。没有必要去讨论了。
现在都是主动防御。 对于一些公开的软件,尤其是远控的软件。 杀软已经研究透了。所以很难穿透主动防御。
个人感觉后免杀时代应该是 系统函数(如zwsetsysteminformation WinExec) 的问题
比如zwsetsysteminformation 被杀后,就得令换其他函数来加载驱动
帖子2 精华
0
积分2 阅读权限40 在线时间5 小时 注册时间2008-5-1 最后登录2008-7-6
查看详细资料
引用
报告
回复
TOP
让女孩一夜变的更有女人味
husheng34
荣誉会员
作者:
发车狂
时间:
2008-7-20 23:17
晕倒, 主动防御,还不成熟,
过主动的方法太多了,我也不多说了,
你认为主动强,只能说明你只会网上已经用烂了方法,
稍微动点脑子,过主动就和玩似的.....
现在杀毒还是主要靠特征,
虚拟机,主动,实时防御都还没办法独拦一面,
个人估计,就算以后很长很长时间内,都不能代替特征码.
最后,不要以为知道一点,就说什么时代,什么时代已经过去了,
熊猫已经充分说明,做这个很多情况并不是技术问题....
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./)
Powered by Discuz! 7.2