![Rank: 9](images/default/star_level3.gif) ![Rank: 9](images/default/star_level3.gif) ![Rank: 9](images/default/star_level1.gif)
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
![高手勋章 高手勋章](images/common/medal2.gif) ![原创奖章 原创奖章](images/common/medal5.gif) ![帅哥勋章 帅哥勋章](images/common/medal9.gif) ![支持奖章 支持奖章](images/common/1.gif) ![突出贡献奖 突出贡献奖](images/common/2.gif) ![优质人品奖章 优质人品奖章](images/common/6.gif)
|
原创作者:1335csy [3.A.S.T]9 k0 }% q. X! E7 Q4 V
$ {2 B- N7 R* P# q6 |( D: G信息来源:3.A.S.T网络安全团队 ( www.3ast.com.cn )0 [! s6 p+ G5 b: H3 b u
4 v X7 x+ Y$ ^3 V i' }
来了3AST很久了 也没有写上什么有点价值的帖子,今天这个帖子算是抛砖引玉吧。。* Q0 z K5 D. _$ Q; o [
. O) j) c: _' N2 X. L7 Q免杀也弄了有点时间了。。现在分享下我的经验。
w/ N+ g& t% g a$ E2 }/ N+ Y7 K; C: n. q( `
首先建议新手朋友要学会定位表面特征码和内存特征码(定位方法有细微差别)
' ?* q. F( k" v% [, S- t( u. Q4 f5 b5 _5 X9 |6 M' G+ l
修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。
( ~; N/ z( P7 p6 \$ |4 N- U/ m, m- L A* Z3 D
第二个是要学会写自己的花指令,不要以为免杀怎么难,多么难,只要你会一点基本的汇编,5 w/ i/ J( I+ R U& u, w" M1 Q
- T& [, ^' j: u' n再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。1 O. _$ @' p/ I9 W- D) e: |& Y
" b. m/ i0 j( P# h: X$ S+ }1 C
很多新手朋友曾经都这么问,什么是花指令?所谓花指令,就是一些,没有用的指令,, a) i( _1 O! t/ Z& x+ \( A
1 z. \2 j0 f! v1 ~- w( F0 t
其作用是干扰杀软的查杀,写花指令最重要的是维持堆栈的平衡,很简单。9 K$ e% l5 J( r2 d* _4 L7 n
9 }; d* _4 [1 B! q& @8 A! e: E顺便说下,花指令对卡巴有特效,但是并不意味着,一个花指令就可以把卡巴斯基搞定。4 g6 Z3 ?& p3 H) A
4 D2 q+ a6 D5 g& u# H% V
对付卡巴斯基, 需要多种方法结合, 壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。( q9 i. l: E" p7 z
% c: g% R6 A* V( |! l
对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候,修改特征码对付他效果好,
5 w- U! k8 F2 _' i% n, x0 r- N/ |0 w* p% F5 I* K t3 B! u
对了,花指令对瑞星不是很管用。: z' K U2 ]! g' S/ \: y6 e6 b
/ N/ Y3 z2 l2 l
$ F/ A F" R! [1 b: ?2 W5 G2 Z做过NOD32免杀的朋友都知道,NOD32的特征码经常定位在输入表上。
0 i6 x1 o1 l" |6 ?- V# l2 G
8 u9 _$ @1 {5 Q6 v3 l) B; f" z我们怎么看一个杀软定位特征码是在输入表上呢?很简单 你把定位出来的特征码放在C32ASM里面看。
& m) p7 T7 U, L: j, D) B) }4 `& K; A4 K: y8 l$ s. W
对应的ANSI字符是在一些什么DLL后面 或者一大连串的字母后面 这样的多半是输入表了。6 c& \4 q2 b/ y& s
, n) [- Y0 C5 `
输入表的免杀是非常重要的一课。 9 X$ ^ c/ S$ Q1 x+ \
& g ^/ A& F1 p* p9 I7 J# Z: ^常见方法 有移位法。上下互换法。以及重建输入表法。
3 p' |8 G. L, V$ w2 ]! ^$ M1 ?& ^- i7 ~( C" l
移位法就是 把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。" y+ \9 X# Y1 [: z- J" @+ s; k! D
0 T( ~* }* @4 V! A6 D
上下互换法则是再找一个和我们特征码那一个同样字节的字符串 互换一下。 但不是通常都有用。" _7 z D7 R2 f( ~
' C6 ~' u% o* e' n( d# ~3 Z
重建输入表则是免杀输入表效果最好的了。 一般的木马都只有一个输入表。4 H0 P/ Q) O6 y; ]% c$ A
7 K& ?1 D! r$ {$ ~. [5 c$ n我们利用ImportREC来帮我们的木马重建一个新的输入表 把旧的输入表删除。。
" m4 r7 i" |2 c4 R9 x3 Z* q: R1 a( E" z% t4 D: U
这样免杀的效果不错。。。
# M, w1 e; Z! E, E; n0 k: L/ Y$ ?$ }$ Q% \+ W. B# m. ^
关于免杀也就这些了,这也是个老生常谈的话题了。说来说去无非也就那几个方法。
, D6 i2 V6 B8 ?/ b9 V9 D8 u+ r% S p/ v8 _# x) E& I
什么入口点加1啊,区段加花啊 。。修改区段名字啊 。。。
3 z l z+ m3 y7 M( l
' u6 q1 P# i( a/ Q3 j大家多多了解下, 免杀不是很难的事。。" W# c- D% p% {+ m6 l4 o* |; _
1 l* Y' Z3 e: ^8 Q3 F- k
此文仅写给新手朋友一看。。老鸟飘过。。 |
-
1
评分人数
-
|