Board logo

标题: [原创文章] 个人免杀经验分享 [打印本页]

作者: 1335csy    时间: 2009-2-16 20:17     标题: 个人免杀经验分享

原创作者:1335csy [3.A.S.T]
' F# c' w  {4 R  ?6 x  {! F3 k
" U/ N! l3 t7 d  ~0 W$ v
信息来源:3.A.S.T网络安全团队  (
www.3ast.com.cn  )
9 V' @' R2 |# k$ E. g# m# a" n4 s8 `; A- o+ [( v! N% A
来了3AST很久了  也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。
/ {' e% l- u" s, o6 u1 r3 J
  U3 o2 V+ o( b% _3 `+ W6 a免杀也弄了有点时间了。。现在分享下我的经验。; k9 K0 Q; L# S4 `" L$ N  P( {

, t; I# c5 p5 \4 n" l4 y首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)$ {& C8 {# G- `; H

# H0 a7 d9 M% G修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。
$ z! j5 T2 l6 D& j: T+ I" d
4 W/ `# \, _7 h( f第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,5 P! P2 a! H8 h/ g
2 k' R2 b: C' P/ c- J- i
再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。% b% w" e3 s& l9 W
7 q" U" J* B5 U$ R* }' U  ^# f
很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,
9 x( R" {7 N& X9 o5 ?* S) A$ W
4 N! L  b. J4 k! i其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。
8 t* Q$ d1 h' [9 L
) J7 I/ T8 [) f) y9 B# W/ J顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。; x5 [$ M! }" F7 @$ G- F

# B3 ?) D2 K0 W" ~' v对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。3 |) W  e$ h3 S5 c) V! q

. X2 X! v( I2 `! |对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,
( D5 A) T9 N* }) e7 H/ T. O4 Q: G( p; l
对了,花指令对瑞星不是很管用。7 [) T% y6 ^- L4 }

3 T, n$ P1 G* _% W1 v
! T2 p. t7 v( i; \) t, n4 l3 o! w, u做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。, V6 Z; w1 _' E! Z: U

7 T) U- y' |  T7 ~5 r. k( t我们怎么看一个杀软定位特征码是在输入表上呢?很简单  你把定位出来的特征码放在C32ASM里面看。5 I' A* r4 u% \2 b
3 B# L$ d2 p  g; g$ d
对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面  这样的多半是输入表了。3 I& q' r. |2 P& u$ r" \  w
7 o% z$ u* [5 E( D
输入表的免杀是非常重要的一课。
! b4 H+ G  P# o8 a. ]5 x' \2 h7 h; q' t0 p5 P. \- c6 J* \# m
常见方法 有移位法。上下互换法。以及重建输入表法。
! O( K5 A7 i4 K4 O( ^. x& j
2 f+ r8 H1 a2 R- z移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。
( r  m7 W6 W" {% ]/ M7 Q
+ w; Z5 f6 l" h$ i$ _上下互换法则是再找一个和我们特征码那一个同样字节的字符串  互换一下。 但不是通常都有用。
; ^8 M8 f3 p& A: c. [7 [2 ?$ \
  X* K" i1 s5 [. S9 z2 X1 y7 d重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。, ^! I# U8 j6 Y8 _* e$ W) t2 ?, o9 T, }
* h. {# A* Z* m  O7 {# a
我们利用ImportREC来帮我们的木马重建一个新的输入表  把旧的输入表删除。。- f1 }) |8 G  P

2 o+ c  }: w* j( _: C* N- l9 P这样免杀的效果不错。。。  n& q) C- X" O# L! P9 ~
" k, ^2 N7 b6 x7 j0 p* a) W
关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。
, l: \6 M! {% O% ^
) Q3 R5 ~+ S! l3 @1 ]) {- c什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。
, n8 j% Y8 s' j: c: C. r* T$ s7 p: Y: D) S* X6 }! D) v
大家多多了解下,  免杀不是很难的事。。* k2 f+ K+ ]; X

2 j0 {; m: k5 A& y6 N此文仅写给新手朋友一看。。老鸟飘过。。
作者: lijinquan    时间: 2009-2-16 20:33

认真学习一下
作者: 残爱    时间: 2009-2-16 22:27

认真学习了....辛苦辛苦!
作者: yyw258520    时间: 2009-2-16 22:39

是得多看看汇编了~~呵呵~谢谢了
作者: 柔肠寸断    时间: 2009-2-16 22:44

好文章,不错,总结不错
作者: paomo86    时间: 2009-2-17 11:06

受益了`:handshake
作者: 1335csy    时间: 2009-2-17 11:40

谢谢这么多人来捧我帖子  没有想到啊 呵呵
作者: hilarylove    时间: 2009-2-17 12:16

还有我小希呢,1335,多谢你一直以来的帮忙啊。
作者: 柔肠寸断    时间: 2009-2-17 15:05

1335加油哦
作者: 小糊涂虫    时间: 2009-2-18 15:23

这些貌似是基础的东西....




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./) Powered by Discuz! 7.2