木马免杀
|
学免杀先看杀毒软件原理 一、杀毒软件原理基础 一个杀毒软件的构造的复杂程度要远远高于木马或病毒所以其原理也比较复杂。而且鉴于现在木马病毒越来越向系统底层发展杀毒软件的编译技术也在不断向系统底层靠近。例如现在的“主动防御”技术就是应用 RING0 层的编译技巧。这里我简单为大家介绍一下基本构成。一个杀毒软件一般由扫描器、病毒库与虚拟机组成并由主程序将他们结为一体。扫描器是杀毒软件的核心 用于发现病毒 一个杀毒软件的杀毒效果好坏就直接取决于它的扫描器编译技术与算法是否先进而且杀毒软件不同的功能往往对应着不同的扫描器也就是说大多数杀毒软件都是由多个扫描器组成的。而病毒库存储的特征码形式则取决于扫描器采用哪种扫描技术。它里面存储着很多病毒所具有的独一无二的特征字符我们称之为“特征码” 。特征码总的分来只有两个文件特征码与内存特征码。文件特征码存在于一些未执行的文件里例如 EXE 文件、RMVB 文件、jpg 文件甚至是 txt 文件中都有可能存在文件特征码也都有可能被查杀。而内存特征码仅仅存在于内存中已运行的应用程序。而虚拟机则是最近引进的概念 它可以使病毒在一个由杀毒软件构建的虚拟环境中执行 与现实的 CPU、硬盘等完全隔离从而可以更加深入的检测文件的安全性。 简单的说杀毒软件的原理就是匹配特征码。当扫描得到一个文件时杀毒软件会检测这个文件里是否包含病毒库里所包含的特征码如果有则报毒病查杀如果没有纵然这个文件确实是一个病毒它也会把它当作正常文件来看待。二、基于文件扫描的杀毒技术 基于文件的杀毒技术可以分为“第一代扫描技术” 、 “第二代扫描技术”与“算法扫描”这三种方法对于免杀爱好者来说要对每一种方法烂熟于心才能成为高手但做为一个初学者来说了解一下即可。这里我们就简单介绍一下其中两种种方法详细的技术原理如果各位得这有兴趣的话可以自己研究。 1、通配符扫描技术 通配符扫描技术属于是第一代扫描技术的一个分支对于“通配符” 可以理解为具有一定意义的符号 例如 DOS 命令里的*号就是任意长度的任意字符的意思 而且通配符在不同的领域也里可以代表不同的意思。 现在杀毒软件中简单的扫描器常常支持通配符因为鉴于字符串扫描技术的执行速度与特征码长度限制等问题使得其逐渐退出历史舞台取而代之的是通配符扫描技术通配符扫描技术以同样简单的原理与技术却实现了更为强大的功能。 扫描器中的通配符一般用于跳过某些字节或字节范围以至于现在有些扫描器还支持正则表达式 下面我们通过一个例子来讲解通配符扫描技术的原理。 例如我们的病毒库中有这样一段特征码 0400 B801 020E 07BB ??02 %3 33C9 8BD1 419C 上面的特征码可以解释为 、尝试匹配 04如果找到则继续否则跳出。 、尝试上一匹配目标后匹配 00如果找到则继续否则跳出。 、尝试上一匹配目标后匹配 B8如果找到则继续否则跳出。 、尝试上一匹配目标后匹配 01如果找到则继续否则跳出。 、尝试上一匹配目标后匹配 02如果找到则继续否则跳出。 、尝试上一匹配目标后匹配 0E如果找到则继续否则跳出。 、尝试上一匹配目标后匹配 07如果找到则继续否则跳出。 、尝试上一匹配目标后匹配 BB如果找到则继续否则跳出。 、忽略此字节。 10、尝试上一匹配目标后匹配 02如果找到则继续否则跳出。 11、在接下来的个位置字节中尝试匹配 33如果找到则继续否则跳出。 12、尝试上一匹配目标后匹配 C9如果找到则继续否则跳出。 13、尝试上一匹配目标后匹配 8B如果找到则继续否则跳出。 14、尝试上一匹配目标后匹配 D1如果找到则继续否则跳出。 15、尝试上一匹配目标后匹配 41如果找到则继续否则跳出。 16、尝试上一匹配目标后匹配 9C如果找到则继续否则跳出。 这种扫描技术通常支持半字节匹配这样可以更精确地匹配特征码一些早期的加密病毒用这种方法都比较容易检测出来。 其实现在的一些特征码仍然在使用类似此种方法的特征码表达技术因此掌握这些知识会对我们以后的免杀有所帮助同样可以使我们在定位特征码时更加了解自己正在做什么以及做的是否正确等等这对于我们来说非常重要。 2、智能扫描 智能扫描属于第二代扫描技术的一个分支这种方法是在一种病毒变异工具包出现之后提出的。智能扫描法会忽略检测文件中象 NOP 这样的无意义指令。而对于文本格式的脚本病毒或宏病毒则可以替换掉多余的例如空格、换行符或制表符等空白字符这一切替换动作在扫描缓冲区就会执行从而大大提高了扫描器的检测能力。 3、近似精确识别法 近似精确识别法同样是属于第二代扫描技术的一个分支但是相比起来应用的更为广泛这种扫描技术包含了两种方式与若干种方法在这里不可能一一介绍下面将主要介绍两种方法的代表。 方法一多套特征码 该方法采用两个或更多个字符串集来检测每个病毒如果扫描器检测到其中一个特征符合那么就会警告发现变种但并不会执行下一步操作例如清除病毒体或删除文件 。 如果多个特征码全部符合则报警发现病毒并执行下一步操作。 方法二效验和对于校验和也许有些朋友会想到文件校验和比对的方法这个方法的思路是将每一个无毒的文件生成一个校验和等待下次扫描时在进行简单的校验和比对即可如果校验和有所变化在进行进一步的扫描这样有利于提升扫描器的效率但是严格地说这并不算是扫描技术。 效验和扫描技术利用的最为到位的就是比较出名的 KAV卡巴斯基了它的第二代扫描器就采用了密码效验和技术并且没有使用任何搜索字符串技术。关于效验和是一个复杂的概念简单的说就是通过对病毒中的某一段代码的计算从而得出一个值例如 123XY4 与MD5 加密有些相似当然这样说不完全正确。 但 KAV 采用的是一种由卡巴斯基发明的一种叫做密码效验和的特殊算法这种算法通常会产生两个值。而且病毒库的查询采用了特征码分类思想例如扫描 EXE 文件时只调用与 EXE 文件有关的病毒库而根据 EXE 文件的位置不同例如文件头、入口点又分为不同的子库这样有利于提高扫描速度。学习免杀首先你得学会汇编把基础的指令要懂得一些一般的指令修改必须会一般的修改这里就不赘述了接下来就是掌握一些常用的免杀技巧这里总结一些第一我们学习免杀的方向只是为了保护自己的黑软的话就不会学的那么累没必去学汇编编程有时候简单加下壳或者脱下壳就 OK如果是要挑战世界的杀毒软件的话毕竟每个 PC 用户安装的杀软都不一样 想抓鸡拿服务器的朋友就要进修脱壳破解 高级汇编的内容了这将决定你免杀技术的高低第二免杀的环境做免杀逃不了测试这个木马是不是修改成功所以为了保护自己的系统我建议学免杀要先学会使用虚拟机很多人会说为什么不用影子影子系统虽然也是可以保护的暂用资源又少但是有些反弹型木马我们运行后如果失败即使成功都需要重启来完成完全清除的工作 做过 QQ 盗号木马跟黑鹰远控软件免杀的朋友应该深有体会第三杀软的安装设置个人建议安装卡巴NOD32,小红伞瑞星金山 当然配置好的电脑可以再加上江民麦咖啡 硬盘大的朋友建议全利用虚拟机安装杀软方便以后重做系统节省升级病毒库的时间杀软的设置可以说是很简单的每安装完一个杀软我们都要先在杀软设置里把监控跟自我保护的选项的钩去掉然后升级病毒库升级完后再关闭服务跟启动项利用 360 安全卫士这样安装其他的杀软就不会起冲突了这里注意下瑞星升级后会自己更改自己的服务为自动 所以瑞星建议最后装 最后升级 再关闭它的服务这里我想大家肯定是关心杀软的序列号从哪来的吧瑞星有体验版金山有 37 天试用版NOD32 利用 PPLOVE 网络电视有 180 天试用卡巴等洋货在百度上搜索均有可用的序列号这个就是考验大家的细心了呵呵卡巴不建议装 6.0.7.0 的人家都在央视打广告了我们就装 2009 把 虽然卡巴的启发比不上 NOD32 的 但是它的主动可是免杀爱好者的 “粉丝” 杀软的查杀特点卡巴主动+高启发扫描~~效果相当厉害卡巴的主动非常麻烦SSDT 也被封了启发式也极难通过还是要取决于木马本身的实力了瑞星国内木马的超级对手可以这么说对国内的木马定位的特征是洋货的 N 倍鸽子见证主要查杀技术是内存查杀技术但是对一些生僻的木马内存病毒库里竟然没有只要过了表面就可以过内存......主动主杀敏感字符串不过 2009 的主动貌似改进了不少......广告卖的倒不错但是只是针对流行木马其他不常见木马并没有加大什么强度NOD32启发扫描的头领主杀输入表函数针对 MYCCL******做过调整定位建议用 multiCCL 这个来定位不过这个大块头对生僻壳的侦壳能力不强加些生僻壳把一些函数保护起来可以让它无用武之地 这类壳主要是加密型不建议用压缩型 金山数据流查杀技术的代表简单来说跟瑞星内存查杀技术有点一样病毒库升级查杀病毒速度都是超级快但是杀毒能力比较上面的几款有点逊色360 与金山清理专家行为查杀的代表金山清理专家比 360 查杀力度还大但是监控能力......实在不想说不过 360 的 5.0 版加了木马云查杀据说不是很好过没试过~~~以上可以说是所有集合杀软的特点文件查杀内存查杀启发查杀数据流查杀行为查杀 主动防御 每个杀软都有自己的特点 一个人也不可能把全球杀软都安装起来研究但是以上 4 个杀软跟一个辅助可以说全包括了病毒查杀特点 也不能说哪个不好 哪个很好有些木马这个杀软杀不出来~~那个就可以杀出来所以对于现在网上有些朋友对个别杀毒软件不重视就会导致你所谓的“肉鸡”插翅难飞嘻嘻接下来就说说技巧方面的1.字符串上我们比HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run 遇到这个我想大家一定是修改大小写吧但是有时候修改大小写还是被杀。 这个我们可以怎么办呢我们可如这个特征码定位到以移动位置 因为这个肯定是一个 api 函数的参数,我们找到那个函数然后修改下调用地址就行了。所以有时候大家不能总用通用方法要学会变通。2.NOD32 的疑问前天有人来问我他说它定位 NOD32定位到了资源上这个有一个可能是你的定位有错误。这个你可以通过 multiccl 把资源和输入表段保护起来然后定位看可以定位出其他的特征码不能至于 MYCCL一般的定位最好在代码段开始定位填充可以选择 FF66 什么的或者反向定位定位的方法很多的别人填充 00你就填充 00 么现在的杀软已经把 myccl 扒的一干二净了有反定位措施...3.花指令 花指令无非是一些干扰程序调试的一些手段当然也可以作为用来迷惑杀毒软件使杀毒软件找不到我们的特征码,从而达到免杀。 为什么大家总是喜欢用网上的一些什么花指令方法。其实我发现其实多调用一些子程序多加一些跳转要比你们写花指令要好的多。不过本人不推荐使用花指令免杀.4.为什我服务端做了免杀,可是生成出来被杀。 这个大家首先可以对比一下有什么不同的地方这个我给大家一个思路现在杀毒软件就喜欢定位有标志型意义的地方通俗点讲版权信息 大家在做的时候因为为了保护我们的木马所以就委屈下原作者呵呵。 版权信息给改了。还有一个就是比如说灰鸽子,现在杀软会定位到它的一些 dll 文件名上,你修改完dll 然后找到调用 dll 文件的函数然后修改下参数即可。 。 。 。高强度花指令--SEHSEH 是 WINDOWS 系统中处理计算机异常行为的一种方式这种方式的特点就是用入栈的方式把断点保存起来所以他的效率很高往往能够处理很多的异常状态。在免杀中我们可以通过它给木马加花让他“错误”地跳到入口点。奉上汇编代码如下 push 原入口点 -OEP mov eax木马免杀工具,dword ptr fs:[0] push eax mov dword ptr fs:[0],esp mov ebx,0 div ebx复制代码这样混淆的强度就很大了其实还有很多这样的方法自己漫漫研究把。 。小鱼和 Medusa 的免杀技巧 1. 遇到特征码定位在 jmp 指令上面的 构造替换 push xxxxx ret。 举例: jmp xxxxx 构造替换 push xxxxx ret 2. 遇到特征码定位在 call 指令上的。 举例: call xxxxx 构造替换: push @f jmp xxxxx @@: @@的标号表示的是你 jmp xxxx 指令后面的内存地址。 @f 也就是引用@@ 的标号所以此时@f 这里填写的就是 jmp xxxxx 指令后面的内存地址。 。 3. 遇... (编辑:源码门户网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
