[原创文章] 个人免杀经验分享

经验, 分享

原创作者：1335csy [3.A.S.T]9 k0 }% q. X! E7 Q4 V

$ {2 B- N7 R* P# q6 |( D: G信息来源：3.A.S.T网络安全团队  （ www.3ast.com.cn  ）0 [! s6 p+ G5 b: H3 b  u
4 v  X7 x+ Y$ ^3 V  i' }
来了3AST很久了  也没有写上什么有点价值的帖子，今天这个帖子算是抛砖引玉吧。。* Q0 z  K5 D. _$ Q; o  [

免杀也弄了有点时间了。。现在分享下我的经验。
+ Y7 K; C: n. q( `
首先建议新手朋友要学会定位表面特征码和内存特征码（定位方法有细微差别）
4 f5 b5 _5 X9 |6 M' G+ l
修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。
$ |4 N- U/ m, m- L  A* Z3 D
第二个是要学会写自己的花指令，不要以为免杀怎么难，多么难，只要你会一点基本的汇编，5 w/ i/ J( I+ R  U& u, w" M1 Q

再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。1 O. _$ @' p/ I9 W- D) e: |& Y
" b. m/ i0 j( P# h: X$ S+ }1 C
很多新手朋友曾经都这么问，什么是花指令？所谓花指令，就是一些，没有用的指令，, a) i( _1 O! t/ Z& x+ \( A
1 z. \2 j0 f! v1 ~- w( F0 t
其作用是干扰杀软的查杀，写花指令最重要的是维持堆栈的平衡，很简单。9 K$ e% l5 J( r2 d* _4 L7 n

顺便说下，花指令对卡巴有特效，但是并不意味着，一个花指令就可以把卡巴斯基搞定。4 g6 Z3 ?& p3 H) A
4 D2 q+ a6 D5 g& u# H% V
对付卡巴斯基，需要多种方法结合，壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。( q9 i. l: E" p7 z
% c: g% R6 A* V( |! l
对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候，修改特征码对付他效果好，
/ |0 w* p% F5 I* K  t3 B! u
对了，花指令对瑞星不是很管用。: z' K  U2 ]! g' S/ \: y6 e6 b
/ N/ Y3 z2 l2 l

做过NOD32免杀的朋友都知道，NOD32的特征码经常定位在输入表上。

我们怎么看一个杀软定位特征码是在输入表上呢？很简单  你把定位出来的特征码放在C32ASM里面看。
& K; A4 K: y8 l$ s. W
对应的ANSI字符是在一些什么DLL后面或者一大连串的字母后面  这样的多半是输入表了。6 c& \4 q2 b/ y& s
, n) [- Y0 C5 `
输入表的免杀是非常重要的一课。 9 X$ ^  c/ S$ Q1 x+ \

常见方法有移位法。上下互换法。以及重建输入表法。
$ M1 ?& ^- i7 ~( C" l
移位法就是把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。" y+ \9 X# Y1 [: z- J" @+ s; k! D
0 T( ~* }* @4 V! A6 D
上下互换法则是再找一个和我们特征码那一个同样字节的字符串  互换一下。但不是通常都有用。" _7 z  D7 R2 f( ~
' C6 ~' u% o* e' n( d# ~3 Z
重建输入表则是免杀输入表效果最好的了。一般的木马都只有一个输入表。4 H0 P/ Q) O6 y; ]% c$ A

我们利用ImportREC来帮我们的木马重建一个新的输入表  把旧的输入表删除。。
* q: R1 a( E" z% t4 D: U
这样免杀的效果不错。。。
: L/ Y$ ?$ }$ Q% \+ W. B# m. ^
关于免杀也就这些了，这也是个老生常谈的话题了。说来说去无非也就那几个方法。
+ r% S  p/ v8 _# x) E& I
什么入口点加1啊，区段加花啊。。修改区段名字啊。。。

大家多多了解下，  免杀不是很难的事。。" W# c- D% p% {+ m6 l4 o* |; _
1 l* Y' Z3 e: ^8 Q3 F- k
此文仅写给新手朋友一看。。老鸟飘过。。

1 评分人数