标题:
[原创文章]
个人免杀经验分享
[打印本页]
作者:
1335csy
时间:
2009-2-16 20:17
标题:
个人免杀经验分享
原创作者:1335csy [3.A.S.T]
' | t+ ` C; J. m1 F
; Z6 c3 G8 S! @$ p2 K
信息来源:3.A.S.T网络安全团队 (
www.3ast.com.cn
)
9 i) F" W- p+ ~; ]; Q
; E2 h% j6 v( j
来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。
V7 g0 P% X( Q. d
- W! N$ ?8 Z5 d
免杀也弄了有点时间了。。现在分享下我的经验。
7 F" X: W1 p7 [( P
0 V1 B7 B) h e, ?& j8 Y, L
首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)
- @( T' ]& b1 H) k
5 x. j$ p2 Y1 q7 h7 \8 G
修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。
n" T" e# h. H- l
2 Q$ b; ~) h/ G* I- z* n: x
第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,
# u( ^6 r' U; C; Q
7 S6 Y! g5 r$ Y% d, ^
再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。
& i# K) G: [: B
$ T+ F" Y: t: j; J- f6 g4 B
很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,
4 V1 U; A5 d. U/ N5 C/ w' h
( J* }+ ~) f1 q6 k R* g+ Q: v
其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。
( Y8 b4 a, v/ h6 U: p
5 ~, ~% k; s2 C# I
顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。
: \ C! w P: W i# l/ p
- G$ q+ `8 X }, x
对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。
6 e: k3 y$ A' K
- r3 L- X0 I% t" `2 l# c+ F% C& _
对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,
8 e' {. W! W2 u X) d4 c) }2 N" N: p
U7 K$ ~/ u/ q S
对了,花指令对瑞星不是很管用。
4 d" S; L* I5 P* w' K9 a% r. K, ?! T
0 N6 l' H6 L2 _
3 N; l0 j5 U' H2 R1 u
做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。
) r) P E2 w! l d
3 X& e5 H7 ~( s. m
我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。
1 [' u& K0 A- p7 p$ M
8 P9 D) N9 ^: w9 E( E/ ]" f
对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。
" F3 z' B% j" T" r$ j8 ?' E
. ?' m8 o5 R' V1 m0 Q, ?
输入表的免杀是非常重要的一课。
5 Y5 @; I9 c7 w7 K6 m
/ Z4 J$ a' R' A# W
常见方法 有移位法。上下互换法。以及重建输入表法。
. D; D# F8 x! g* }5 \6 F; T2 Z
% V# ] h( z, B3 E* P
移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。
$ t% \. N& D) Q
6 [( E- d* B2 @
上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。
- B1 ]+ ?7 U% | J
% j5 T; P! s- E# x/ S
重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。
1 y$ U6 W0 B' X# P9 K
2 S7 S, u6 U0 V% P2 a ^
我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。
5 V" q3 \. w0 F& C
6 X1 x5 Q7 _' V
这样免杀的效果不错。。。
& U9 o0 l0 T8 ]+ n
, S3 g5 r+ @, s6 t0 b( a8 A& z: ^: @, C
关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。
8 q1 {, m, |- N0 }( x: i( T
, K2 v/ R; m* X) p! A
什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。
& {& m5 @$ x# C0 o- G7 K. T. [
5 w5 o7 G- r0 E3 _8 [ U/ ^
大家多多了解下, 免杀不是很难的事。。
+ t1 K3 M; @' a5 R8 a' u2 e& D
1 N4 g, G! B* K$ H
此文仅写给新手朋友一看。。老鸟飘过。。
作者:
lijinquan
时间:
2009-2-16 20:33
认真学习一下
作者:
残爱
时间:
2009-2-16 22:27
认真学习了....辛苦辛苦!
作者:
yyw258520
时间:
2009-2-16 22:39
是得多看看汇编了~~呵呵~谢谢了
作者:
柔肠寸断
时间:
2009-2-16 22:44
好文章,不错,总结不错
作者:
paomo86
时间:
2009-2-17 11:06
受益了`:handshake
作者:
1335csy
时间:
2009-2-17 11:40
谢谢这么多人来捧我帖子 没有想到啊 呵呵
作者:
hilarylove
时间:
2009-2-17 12:16
还有我小希呢,1335,多谢你一直以来的帮忙啊。
作者:
柔肠寸断
时间:
2009-2-17 15:05
1335加油哦
作者:
小糊涂虫
时间:
2009-2-18 15:23
这些貌似是基础的东西....
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./)
Powered by Discuz! 7.2
