木马的免杀技术
2012-06-04 09:40
309 查看
木马免杀,在国内应该起源于05年吧.从那时单一特征码到现在复合特征码,杀毒软件从无主动防御到有主动防御.免杀技术越来越难.但是万变不离其宗--改特征码.到现在一些辅助软件的行为查杀.
以下讲解都是以远程控制软件为例(这里补充一个概念,木马的反弹技术,就是服务端主动连接客户端.何谓主动连接呢,你只要把客户端软件在本机上开启后,中马的机子会主动连接上你的那个软件,而不必你去找他的IP,再与他连接,这样省去了不少麻烦)
因为现在的主动防御太强悍,尤其是卡巴,瑞星的主动防御是基于特征码,所以很容易过.选远控软件的时候应该选一个本身就过杀软的,如PCSHARE,iRaT Classic,gh0st等等,我个人觉得这几个软件都不错,而且免杀容易.
行为查杀:大多数的木马有默认的释放路径,而且安装好后有几个专用名词,如灰鸽子安装好后,就用"灰鸽子安装完毕","黑防鸽子"安装好后有"黑防专版"等字样,这些都是作为行为查杀木马的特征.配置时候把路径改掉,配置好后用C32ASM把里面的字符找到后替换掉就可以了.
最关键的我还是认为是特征码,也许大多数的人认为是主动防御.因为从我用马的经验来说,像PCshare,iRaT Classic等,只要改了特征码后,主动照过.因为这些软件本身就过杀软的主防.讲一下我改特征码的经验吧:
1,定位出特征码后,不要急着改特征码,应该先看看前面与后面的,我定位PCSHARE的时候定位出system.sys(小数点是被杀的,也就是特征码),而我把小数点前面的system改成大写后就过那款杀毒软件了。这就说,不要定位到哪里,就改到哪里。
2,定位到CAll时,应该试试这样:例,定位到call12345678,这样一个,你试试改成call12345677,就是减1,这种方法很有用
3.定位到PE头时,应该PE头移位,我不详细讲,这个网上看看方法,很简单的,只是简单的计算一下,移位一下。第二种方法,我听群里朋友说,但自己还没有试过,就是用北斗加一下壳,然后再脱壳,这样可以免杀,
4,定位到输入表时,也是相应的移位,这个网上方法也很多。因为是浅谈嘛,所以不详细说,只是提示一下,你在查免杀方法的同时,会学到很多
5,第五是加一减一法,如果定位到数字或者其它什么符号时,加一减一试试,这个我也试过,有时候挺有用的
6,先加一个壳,再定位特征码,这样能减少特征码的修改。
7.跳转法。找个零区域,或者自己插入一个更佳,把代码移到零区域,这是一种常用的方法
8.对付卡巴,花指令很有效的,花指令如何写呢,首先花指令就是一堆废话,没有用的,你惟一要做的就是维持堆栈平衡,不然要出错的。
9,学习免杀应该懂一些十六进制工具,汇编工具,也应该懂一些汇编,其它改多了就好。
以下讲解都是以远程控制软件为例(这里补充一个概念,木马的反弹技术,就是服务端主动连接客户端.何谓主动连接呢,你只要把客户端软件在本机上开启后,中马的机子会主动连接上你的那个软件,而不必你去找他的IP,再与他连接,这样省去了不少麻烦)
因为现在的主动防御太强悍,尤其是卡巴,瑞星的主动防御是基于特征码,所以很容易过.选远控软件的时候应该选一个本身就过杀软的,如PCSHARE,iRaT Classic,gh0st等等,我个人觉得这几个软件都不错,而且免杀容易.
行为查杀:大多数的木马有默认的释放路径,而且安装好后有几个专用名词,如灰鸽子安装好后,就用"灰鸽子安装完毕","黑防鸽子"安装好后有"黑防专版"等字样,这些都是作为行为查杀木马的特征.配置时候把路径改掉,配置好后用C32ASM把里面的字符找到后替换掉就可以了.
最关键的我还是认为是特征码,也许大多数的人认为是主动防御.因为从我用马的经验来说,像PCshare,iRaT Classic等,只要改了特征码后,主动照过.因为这些软件本身就过杀软的主防.讲一下我改特征码的经验吧:
1,定位出特征码后,不要急着改特征码,应该先看看前面与后面的,我定位PCSHARE的时候定位出system.sys(小数点是被杀的,也就是特征码),而我把小数点前面的system改成大写后就过那款杀毒软件了。这就说,不要定位到哪里,就改到哪里。
2,定位到CAll时,应该试试这样:例,定位到call12345678,这样一个,你试试改成call12345677,就是减1,这种方法很有用
3.定位到PE头时,应该PE头移位,我不详细讲,这个网上看看方法,很简单的,只是简单的计算一下,移位一下。第二种方法,我听群里朋友说,但自己还没有试过,就是用北斗加一下壳,然后再脱壳,这样可以免杀,
4,定位到输入表时,也是相应的移位,这个网上方法也很多。因为是浅谈嘛,所以不详细说,只是提示一下,你在查免杀方法的同时,会学到很多
5,第五是加一减一法,如果定位到数字或者其它什么符号时,加一减一试试,这个我也试过,有时候挺有用的
6,先加一个壳,再定位特征码,这样能减少特征码的修改。
7.跳转法。找个零区域,或者自己插入一个更佳,把代码移到零区域,这是一种常用的方法
8.对付卡巴,花指令很有效的,花指令如何写呢,首先花指令就是一堆废话,没有用的,你惟一要做的就是维持堆栈平衡,不然要出错的。
9,学习免杀应该懂一些十六进制工具,汇编工具,也应该懂一些汇编,其它改多了就好。
相关文章推荐
- 木马免杀技术大盘点
- 木马免杀技术大盘点和PE基础知识
- 破解最新黑鹰远远控以及木马免杀技术(语音)
- 打造你的无敌黑器--谈病毒木马的免杀技术
- 传说中的木马免杀技术
- 传说中的木马免杀技术 二
- 木马免杀技术大盘点和PE基础知识
- 最新最全的免杀技术文章》转帖
- 20155210 20155233 信息安全技术 实验四 木马及远程控制技术
- 《信息安全技术》 实验四 木马及远程控制技术
- 杀毒与免杀技术详解之二:特征码定位-工具及原理
- 木马技术
- 杀毒软件的查杀病毒的原理以及木马、病毒的免杀伎俩
- 透视木马程序开发技术
- 木马免杀原理详解
- 20145336 张子扬 《网络对抗技术》免杀原理与实践
- 杀毒与免杀技术具体解释之二:特征码定位-工具及原理
- 从杀毒软件的机制展望未来免杀技术
- 木马服务端生成技术详解
- “DLL劫持”技术的经典-----“LPK劫持者”木马!《LPK劫持者》