标题:
研究免杀请看
[打印本页]
作者:
s37su37
时间:
2008-7-27 09:07
标题:
研究免杀请看
研究免杀请看
对于花指令:好多朋友都在满世界的找一些所谓的免杀的花指令.可是你在网上找到的都是一些以经公开了的.早就被杀了.就算暂时不杀.但是他的免杀期并不是由你来控制的.因为你也不知道哪一天会被杀软追杀.其实花指令在木马免杀中的作用就是干扰其正常的查杀顺序,对于一个木马来说如果是单一特征码的话,你加了花指令还杀的话.我想杀的也是花指令中的一处代码.那你完全可以在定位这个木马.查看是不是特征码以经在花指令上边了..(一般情况下都是这样的)如果在的话那就太好改了.因为花指令本身就是废话指令.无外呼就是来回的跳转.来回的压入,弹出.捎微掌握点汇编知识就能搞定了.
对于国产的杀软好多都是你把木马文件的头部转移了,就可以免杀了!!
对于加壳.因为有些壳加了木马就不能用了.有些呢..因为大家都用.所以也以经被杀了.可是杀也是杀他的壳..
对于卡吧.NOD32.诺顿等一些比教强的杀毒软件他强处之一就是他有很强的脱壳能力,就是他可以先把你的壳脱掉在来查杀木马.所以我要是给木马加壳的话就是找一些新壳,然后先加一道壳.在载入freeRES中释放资源.然后在加一道.不行就用同样的方法,在叫一道..但是就这样也不一定能过了杀毒.
好用的壳北斗.小辉的PE加密..
更改特征码:我认为做免杀的正道还是更改特征码免杀,木马的特征码都该完了后在找两个好壳加上.那你在看看免杀长不长吧.
在做定位免杀时也不能只更改你定位出来的那个特征码.你要看程序的整体汇编含意是什么,
比如:你定位的特征码在
卡吧 [特征] 0000B585_00000003 转内存地址: 0040B585
OD载入找到卡吧特征码的位置是
0040B57C |. E8 7F89FFFF CALL 木马.00403F00
0040B581 |. 8BD0 MOV EDX,EAX
0040B583 |. B9 08BC4000 MOV ECX,木马.0040BC08 ; ASCII "KpopMon"
0040B588 |. B8 02000080 MOV EAX,80000002
也就是说0040B585是0040B583指令中的一部份.(这个要是不明白我就没话可说了)
那你就看0040B583 处的指令是什么意思..
是把0040BC08处的ASCII "KpopMon"传送到寄存器ECX里.那这段你要是改的话就要到0040BC08地址处去调整他的位置.然后在回来把0040B583的指针调整就可以了.
还可以怎么改.在看0040B57C |. E8 7F89FFFF CALL 木马.00403F00
实际上现在的杀毒公司定位的特征码大部分都在CALL和JMP..上边
CALL是过程调用指令
那刚才那段OD中的指令你往上看还可以看到
0040B57C |. E8 7F89FFFF CALL 木马.00403F00
这句就是0040B57C调用00403F00中的指令.
其中CALL 木马.00403F00的位置查看00403F00的位置是
00403EFF 90 NOP
00403F00 /$ 85C0 TEST EAX,EAX
00403F02 |. 74 02 JE SHORT kk_.00403F06
00403F04 |. C3 RETN
00403F05 | 00 DB 00
00403F00上面是NOP.那你就可以把
0040B57C |. E8 7F89FFFF CALL 木马.00403F00的指针调整为
0040B57C |. E8 7F89FFFF CALL 木马.00403EFF
这样也能免杀.而且还没有改变堆栈平衡..其他的功能也决对不会有什么变化
所以做免杀一定要掌握的就是汇编指令的含意.这个很简单并不是要你去完全的学会汇编的
作者:
963852
时间:
2008-9-3 22:12
顶一下:) :) :)
作者:
hilarylove
时间:
2008-11-25 18:54
支持,其实我觉得免杀改特征码还是很重要的。:) 。
作者:
黑白一刻
时间:
2009-3-21 16:40
想要成为一名高手,掌握几门语言是必要的,从基础学期才是王道啊,用别人的东西总是跟在别人后面
作者:
zclzhao
时间:
2009-7-30 18:16
学习了,我正在学做免杀。
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./)
Powered by Discuz! 7.2