标题:
[原创文章]
个人免杀经验分享
[打印本页]
作者:
1335csy
时间:
2009-2-16 20:17
标题:
个人免杀经验分享
原创作者:1335csy [3.A.S.T]
' F# c' w {4 R ?6 x {! F3 k
" U/ N! l3 t7 d ~0 W$ v
信息来源:3.A.S.T网络安全团队 (
www.3ast.com.cn
)
9 V' @' R2 |# k$ E. g# m# a" n
4 s8 `; A- o+ [( v! N% A
来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。
/ {' e% l- u" s, o6 u1 r3 J
U3 o2 V+ o( b% _3 `+ W6 a
免杀也弄了有点时间了。。现在分享下我的经验。
; k9 K0 Q; L# S4 `" L$ N P( {
, t; I# c5 p5 \4 n" l4 y
首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)
$ {& C8 {# G- `; H
# H0 a7 d9 M% G
修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。
$ z! j5 T2 l6 D& j: T+ I" d
4 W/ `# \, _7 h( f
第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,
5 P! P2 a! H8 h/ g
2 k' R2 b: C' P/ c- J- i
再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。
% b% w" e3 s& l9 W
7 q" U" J* B5 U$ R* }' U ^# f
很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,
9 x( R" {7 N& X9 o5 ?* S) A$ W
4 N! L b. J4 k! i
其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。
8 t* Q$ d1 h' [9 L
) J7 I/ T8 [) f) y9 B# W/ J
顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。
; x5 [$ M! }" F7 @$ G- F
# B3 ?) D2 K0 W" ~' v
对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。
3 |) W e$ h3 S5 c) V! q
. X2 X! v( I2 `! |
对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,
( D5 A) T9 N* }) e
7 H/ T. O4 Q: G( p; l
对了,花指令对瑞星不是很管用。
7 [) T% y6 ^- L4 }
3 T, n$ P1 G* _% W1 v
! T2 p. t7 v( i; \) t, n4 l3 o! w, u
做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。
, V6 Z; w1 _' E! Z: U
7 T) U- y' | T7 ~5 r. k( t
我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。
5 I' A* r4 u% \2 b
3 B# L$ d2 p g; g$ d
对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。
3 I& q' r. |2 P& u$ r" \ w
7 o% z$ u* [5 E( D
输入表的免杀是非常重要的一课。
! b4 H+ G P# o8 a. ]5 x' \2 h7 h
; q' t0 p5 P. \- c6 J* \# m
常见方法 有移位法。上下互换法。以及重建输入表法。
! O( K5 A7 i4 K4 O( ^. x& j
2 f+ r8 H1 a2 R- z
移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。
( r m7 W6 W" {% ]/ M7 Q
+ w; Z5 f6 l" h$ i$ _
上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。
; ^8 M8 f3 p& A: c. [7 [2 ?$ \
X* K" i1 s5 [. S9 z2 X1 y7 d
重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。
, ^! I# U8 j6 Y8 _* e$ W) t2 ?, o9 T, }
* h. {# A* Z* m O7 {# a
我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。
- f1 }) |8 G P
2 o+ c }: w* j( _: C* N- l9 P
这样免杀的效果不错。。。
n& q) C- X" O# L! P9 ~
" k, ^2 N7 b6 x7 j0 p* a) W
关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。
, l: \6 M! {% O% ^
) Q3 R5 ~+ S! l3 @1 ]) {- c
什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。
, n8 j% Y8 s' j: c: C. r* T
$ s7 p: Y: D) S* X6 }! D) v
大家多多了解下, 免杀不是很难的事。。
* k2 f+ K+ ]; X
2 j0 {; m: k5 A& y6 N
此文仅写给新手朋友一看。。老鸟飘过。。
作者:
lijinquan
时间:
2009-2-16 20:33
认真学习一下
作者:
残爱
时间:
2009-2-16 22:27
认真学习了....辛苦辛苦!
作者:
yyw258520
时间:
2009-2-16 22:39
是得多看看汇编了~~呵呵~谢谢了
作者:
柔肠寸断
时间:
2009-2-16 22:44
好文章,不错,总结不错
作者:
paomo86
时间:
2009-2-17 11:06
受益了`:handshake
作者:
1335csy
时间:
2009-2-17 11:40
谢谢这么多人来捧我帖子 没有想到啊 呵呵
作者:
hilarylove
时间:
2009-2-17 12:16
还有我小希呢,1335,多谢你一直以来的帮忙啊。
作者:
柔肠寸断
时间:
2009-2-17 15:05
1335加油哦
作者:
小糊涂虫
时间:
2009-2-18 15:23
这些貌似是基础的东西....
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./)
Powered by Discuz! 7.2