标题:
[原创文章]
个人免杀经验分享
[打印本页]
作者:
1335csy
时间:
2009-2-16 20:17
标题:
个人免杀经验分享
原创作者:1335csy [3.A.S.T]
) c8 k9 ?4 e, l
1 g2 p5 d9 j1 F( t7 w d" H) A* S
信息来源:3.A.S.T网络安全团队 (
www.3ast.com.cn
)
2 |; y7 |4 M! @2 C# I
@+ ]: \* O" _# I' T; F+ |0 v( k
来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。
" C4 B* D r5 y; V, S
5 Y9 T$ s) e" _ [+ {- ?( G
免杀也弄了有点时间了。。现在分享下我的经验。
2 U0 T( [8 o6 N: w
4 u1 V' @1 v9 x
首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)
! a& M$ z( ^' q0 b$ K, [$ D8 f
4 }6 S: E* ?) L$ I& A
修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。
, W% F4 I% W7 f; P1 j
5 S! D9 k; S: d6 W
第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,
g: ~; b) L+ e7 A. [
1 ~1 o7 t; q5 a. @* r1 @# Z
再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。
6 D/ U4 B! \. x2 {# w' ]
% x$ n$ }7 x8 }/ I4 h3 h
很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,
$ }: x4 t1 p7 T& |2 s! l4 s
/ y- p! ?& d+ \0 D' W" F
其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。
; v7 L+ r9 T6 [* b* L
5 n4 D2 }1 b) |5 H% e
顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。
& A1 q( _# ?5 A/ [" Z& q+ Y
# L* v# M* _+ ?0 X7 u! T1 \
对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。
5 }2 b9 S D0 B' A, l3 y2 b/ D e+ H
: L, R$ X4 i% B! x
对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,
4 i4 D2 g* E/ I. L+ N
- z2 S9 X1 T7 g
对了,花指令对瑞星不是很管用。
( `4 P8 ]9 e& e5 c7 N2 I
/ K+ p4 L& n/ \- Q. ~: _' \
* W. R9 p4 M w
做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。
% y6 S$ }4 e* ~) _8 z4 K7 X
" S* p1 k7 i( p( c" I
我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。
$ L" I8 p2 |1 x% |/ z
7 P7 u& t' m$ A2 L" I) z
对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。
, [5 f6 \" N& R
" N: E8 o ?2 k$ d
输入表的免杀是非常重要的一课。
# M* _- z" x. R9 ~
- I$ R- O' c5 s8 x. V
常见方法 有移位法。上下互换法。以及重建输入表法。
h. R% v, Z7 N0 @& X
0 o3 Y0 g. k$ [6 Y
移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。
1 L5 a' C6 U6 d# M6 x1 w
" G2 ?. J' T2 z0 R, \
上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。
. _" s/ y+ \0 h
2 E% u" Q" _0 B& R( b" b( g
重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。
& c/ w w/ N9 l
2 |+ q+ Y5 y! P4 Z& Q! B* ~
我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。
, u( A* K. ?9 D3 M
$ q' h. [: `; b, U) K E
这样免杀的效果不错。。。
! f0 J: o* C8 n
. q* ~$ L% ]6 @# z! m# J
关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。
( a" l* F1 L4 S+ K
! m- F" b" ^" L
什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。
# X+ d+ Q7 v0 j/ \: c C
# ]* z/ F0 R7 n9 e
大家多多了解下, 免杀不是很难的事。。
+ e) L2 o. v% v) b* L
! x) u# K: W j0 D' I0 z1 F
此文仅写给新手朋友一看。。老鸟飘过。。
作者:
lijinquan
时间:
2009-2-16 20:33
认真学习一下
作者:
残爱
时间:
2009-2-16 22:27
认真学习了....辛苦辛苦!
作者:
yyw258520
时间:
2009-2-16 22:39
是得多看看汇编了~~呵呵~谢谢了
作者:
柔肠寸断
时间:
2009-2-16 22:44
好文章,不错,总结不错
作者:
paomo86
时间:
2009-2-17 11:06
受益了`:handshake
作者:
1335csy
时间:
2009-2-17 11:40
谢谢这么多人来捧我帖子 没有想到啊 呵呵
作者:
hilarylove
时间:
2009-2-17 12:16
还有我小希呢,1335,多谢你一直以来的帮忙啊。
作者:
柔肠寸断
时间:
2009-2-17 15:05
1335加油哦
作者:
小糊涂虫
时间:
2009-2-18 15:23
这些貌似是基础的东西....
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./)
Powered by Discuz! 7.2