我爱电脑技术论坛 » 菜鸟学堂 » 免杀技术之特征码修改常识

tianshiren 发表于 2008-7-2 13:36

免杀技术之特征码修改常识

如果你想学习免杀技术
9uT)L [qe
7WsjUt 　　1.基础的汇编语言 2.修改工具(不指那些傻瓜式软件).如 FNH
JBeX_C

uc,a_7YtU!M]LO 　　OllyDbg . PEditor. C32ASM . MYCCL复合特征码定位器.UE .OC. 资源编辑器等.还有一些查壳 脱壳软件(如:PEID RL脱壳机等) . 以下是常用的几种免杀方法及工具: L$v's0@qsd

bg:h
s+\*Y:vn V 　　一. 要使一个木马免杀，首先要准备一个不加壳的木马，这点非常重要，否则免杀操作就不能进行下去。 M!S1Y`&u8TKd
6T
yzH D&X ?zh&l
　　二.然后我们要木马的内存免杀，从上面分析可以看出，目前的内存查杀，只有瑞星最强，其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀，要进行内存特征码的定位和修改，才能内存免杀。 n+`!Am/X _9I

o[2iQ`W"er 　　二.对符其它的杀毒软件，比如江民，金山，诺顿,卡巴.我们可以采用下面的方法,或这些方面的组合使用. k)HOzrGJ:u M\/s1M
i^ T$}8@g
　　1>.入口点加1免杀法 v2K^6eg+M
;w;t)u;F3pk#N*S
　　2>.变化入口地址免杀法
6z/h1W%L:F$M |7@oH-^`
　　3>.加花指令法免杀法 &lqh+r&m/[2J

fLY%cKx f9b 　　4>.加壳或加伪装壳免杀法
sb J `wo"P#J`k5H/Q
p ~GBetj 　　5>.打乱壳的头文件免杀法
;R]|es8yC
Xv?@"[5Z)\FO5d 　　6>.修改文件特征码免杀法 %mH8^
Rm4b(tSP)M
dVfW7A8W^Q
　　第三部分:免杀技术实例演示部分
Y]#p&Oy6O 8A4ot5j-h4M
　　一.入口点加1免杀法
4}0U$P"puh7B a,fYO
j oc5`Lxp4n
　　1.用到工具:PEditor
T4}CE4}
o\4Zi;AY.L 　　2.特点:非常简单实用,但有时还会被卡巴查杀
{*?6f BX 9to^:o0d8{
　　3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可

dQy4E_;oKYZ,Q
D]
K(H
E2\%[ 　　二.变化入口地址免杀法 9\ \0C5YyAw|zd
v3Vo5gb6PXZ
　　1.用到工具:OllyDbg,PEditor S` B j(]9}
Gm(kE#q;E?
　　2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳
O3_.fE){+J J8IA'| Y2q.Fd
　　3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址
c2l;j-R0]8K|(`4A
zZi"v5H5|5wn:|{&~ 　　三.加花指令法免杀法 /IBy1r+LGZ I
0B
Oi2V0IO}!\
　　1.用到工具:OllyDbg,PEditor FQe+up'Q8p
gT4[V nr F-Y Kl:k
　　2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀
IYq@#P6W m c~HR3O y8oo
　　3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去，填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令的着地址。
d Gv6V'r3t%Ovc*`T 'ZNGk#e;Y
　　四.加壳或加伪装壳免杀法 ;D:YkM%k"`
,h J#?jwZ
　　1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等
f6c%\,`}'a{ Erk*mr O
　　2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀
i5E#}0NWgia/n
.u)O!W0P9fa6P0DW&Fc7s 　　3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的免杀效果更佳 rNG1`?
fI }
l E7Y2X8W7p
　　五.打乱壳的头文件或壳中加花免杀法 (|u2P[:W?

}7_/X G~c\Z 　　1.用到工具:秘密行动 ,UPX加壳工具 ;k,Pce
SdbT,}9y2\

/pj{
d9ZB2` l 　　2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好
Q3R1NZ1?8_
P^N)uoN8M 　　3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果 +j'VNo:G;w.[1T

8?:TU-l*po'x2]9b 　　六.修改文件特征码免杀法 gNh{#I4a-^7G

3K}.w8VoZ1qk 　　1.用到工具:特征码定位器,OllyDbg 7CS5N$T(d!c/H}\%_E
$`)K7`kQ&C X(\s&O
　　2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好 &eE9O5M pC

\.sKlra{2d/CdWW 　　3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程
Q:tm\*p#C c;{5u
+w-F3A n(rnzI1h 　　第四部分:快速定位与修改瑞星内存特征码 6vo*F.H8c+P8\k!z
A2Q}&f*Qa#n6NE%NXC8Rh
　　一. 瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符串作为病毒特征码,这样对我们的定位和修改带来了方便 0j%f5@ u9W,@A_

._x Z5e q:[ U:Sl 　　二定位与修改要点: q
g{ H\8^}W]g

&cL;S,^S 　　1>.首先用特征码定位器大致定位出瑞星内存特征码位置
bx|'e.O
"F/oDrH'\nE 　　2>.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征码后,只要把字符串的大小写互换就能达到内存免杀效果。
le,u:[d$lV hs NR)NM@e1T.Hd
　　第五部分:木马免杀综合方案 ]
l#g%SNo9EJq

B S+K1I#w 　　修改内存特征码--->
;?7^;V
}p&TWjt
E.Mc&D7Z8my 　　1>入口点加1免杀法---> 1>加压缩壳--->1>再加壳或多重加壳
$W7?-p b6J5a7XT+t D3?[bN}'UV%Lc
N
　　2>变化入口地址免杀法 2>加成僻壳 2>加壳的伪装 A&r|%P+J
'J Ug)ELucdC8m
　　3>加花指令法免杀法 3>打乱壳的头文件 d;} |^Q.^-[TD9@i*r\

2L'M1YTXM-t,S$ZL#{ 　　4>修改文件特征码免杀法 {#V_Yf)@Sw%j j9s

1T|A%w E"D@[Y H 　　注:这个方案可以任意组合各种不同的免杀方案.并达到各种不同的免杀效果 cHz#l4SQ3D2](vrsy
lR$[2I1E/@:QTLU;d
　　第六部分:免杀方案实例演示部分
,eb dE4x;~MH5l 2hc:bVf!ry
　　1.完全免杀方案一 5e5Z3G,Kp];M-d
#{s5x5CI$A/SNh
　　内存特征码修改 + 加UPX壳 + 秘密行动工具打乱UPX壳的头文件
g [ o3jO(q J }
U1v ~;`
　　2.完全免杀方案二
DK5R+thGP3Vu6g
;@L1R(nB#x[p(g ? 　　内存特征码修改 + 加压缩壳 + 加壳的伪装 T
Z,{'L
a!Hg^,D

:XG!g,N&p2I 　　3.完全免杀方案三 :p&a"lo1Ps

kM!i v)s/~l6f 　　内存特征码修改 + 修改各种杀毒软件的文件特征码 + 加压缩壳 )Xew$R ~Jmb@o

I f'VP4a3F 　　4.完全免杀方案四
9~"[)H9^~9p&i 6E:@6^G'x@1RK"` k'_u(]
　　内存特征码修改 + 加花指令 + 加压壳
i/l2tQCeh 9j"q.f+f&Z}
　　5.完全变态免杀方案五 _|z]q;zM7y#Cv
%H)p.F e{0Zi;l
　　内存特征码修改 + 加花指令 + 入口点加1 + 加压缩壳UPX + 打乱壳的头文件
XoVI.b
]9tE_
C#C-W 　　还有其它免杀方案可根据第五部分任意组合.

查看完整版本: 免杀技术之特征码修改常识