[原创文章] 个人免杀经验分享

经验, 分享

原创作者：1335csy [3.A.S.T]
4 }0 o+ s" ^$ }
+ B+ D* |! Y& D: L$ P6 X# J9 C信息来源：3.A.S.T网络安全团队  （ www.3ast.com.cn  ）, b+ q- O& u2 ]+ E3 l
0 ^% i4 X6 k% z# o% D3 e
来了3AST很久了  也没有写上什么有点价值的帖子，今天这个帖子算是抛砖引玉吧。。

免杀也弄了有点时间了。。现在分享下我的经验。* H4 ]7 C1 s7 ^, Y; [  J7 |9 X! p6 O) T

首先建议新手朋友要学会定位表面特征码和内存特征码（定位方法有细微差别）

修改特征码还是要学习的。毕竟现在依靠特征码查杀仍是杀软的主要途径之一。) ^; L+ H. ~2 {& `3 @
0 }% Z- y: H- m4 d9 i! F+ R
第二个是要学会写自己的花指令，不要以为免杀怎么难，多么难，只要你会一点基本的汇编，4 A3 N/ W5 }; I+ e2 n
" a) d  C, Q$ a' N/ K, w# J
再多翻几下8088汇编速查手册。我相信基本的木马免杀是难不倒你的。………^_^。# h6 N  s; g( ]2 M8 Q

很多新手朋友曾经都这么问，什么是花指令？所谓花指令，就是一些，没有用的指令，$ _- L2 d. }/ |

其作用是干扰杀软的查杀，写花指令最重要的是维持堆栈的平衡，很简单。
2 V" {" V3 n' x  R+ |
顺便说下，花指令对卡巴有特效，但是并不意味着，一个花指令就可以把卡巴斯基搞定。, U- \$ ]' \. Z/ ^" N' z

对付卡巴斯基，需要多种方法结合，壳上加花和修改文件入口点以及去头加花一般免杀效果是非常好的。2 q) u- ^+ F2 w; ?3 t2 K

对于瑞星么。我个人还是建议修改特征码。尤其是内存特征码的时候，修改特征码对付他效果好，
7 k. w4 C0 z, O
对了，花指令对瑞星不是很管用。. ?, [5 T2 X5 G. A

做过NOD32免杀的朋友都知道，NOD32的特征码经常定位在输入表上。
  r' \/ @) M! v, @
我们怎么看一个杀软定位特征码是在输入表上呢？很简单  你把定位出来的特征码放在C32ASM里面看。
3 o, d3 k: |  d) p: u0 B2 _5 k
对应的ANSI字符是在一些什么DLL后面或者一大连串的字母后面  这样的多半是输入表了。* p4 P0 K6 N. ]: F
; w& }8 }8 y! E# l# D1 K- o  b
输入表的免杀是非常重要的一课。
$ Y( W9 g& c7 y, L2 H6 }. a
常见方法有移位法。上下互换法。以及重建输入表法。

移位法就是把我们的特征码那一DLL往前移动一位或者往后移动一位。再用LOADPE来修改输入表。
% ~+ j3 W, g  F. r0 p
上下互换法则是再找一个和我们特征码那一个同样字节的字符串  互换一下。但不是通常都有用。% i& D! n: ^& L$ v4 d( J
# O5 s  [6 c/ L' _+ k3 E0 [5 Z! D7 D  p
重建输入表则是免杀输入表效果最好的了。一般的木马都只有一个输入表。
9 ~( g0 G1 `1 C, U
我们利用ImportREC来帮我们的木马重建一个新的输入表  把旧的输入表删除。。

这样免杀的效果不错。。。

关于免杀也就这些了，这也是个老生常谈的话题了。说来说去无非也就那几个方法。
: r* t. Z% u8 _9 ?2 J/ ]
什么入口点加1啊，区段加花啊。。修改区段名字啊。。。
0 _8 D( z2 I: G! {  \, s
大家多多了解下，  免杀不是很难的事。。0 o4 h5 {6 X* h1 v) j

此文仅写给新手朋友一看。。老鸟飘过。。

1 评分人数