免杀常用方法
木马免杀基础知识
1.4 Section Table
PE Header 接下来的数组结构 Section Table (节表)。如果PE文件里有5个节,那么此 Section Table 结构数组内就有5个成员,每个成员包含对应节的属性、文件偏移量、虚拟偏移量等。图1中的节表有4个成员。
1.5 Sections
10.加壳(这个大家应该都会)
11.入口点加1(这个不说了,傻B都会哦)
12.垃圾代码清0(这个要一点汇编基础,能看懂哪些代码是没用的就行!)
13.这里省略!因为太多了~~
这些是比较普通的免杀方法,那么当然有很多变态免杀方法了。我们得先把这几种普通的免杀方法先掌握,在以后的教程中我会给大家公布一些我自己的免杀方法!
|--------------|
|PE Header |
|--------------|
|Section Table |
|--------------|
|Section 1 |
|--------------|
|Section 2 |
|--------------|
|Section ... |
常用免杀方法:
1.特征码定位
(主要是用CCL和MYCCL等工具定位出杀毒软件的特征码,然后对相应的特征码做适当的修改,从而实现免杀)优点:效果好。 缺点:费时间。
2.大小写替换(大小写转换)
3.指令顺序调换(把两个指令换个位子法不是很通用)
1.3 PE Header
紧接着 DOS Stub 的是 PE Header。它是一个 IMAGE_NT_HEADERS 结构。其中包含了很多PE文件被载入内存时需要用到的重要域。执行体在支持PE文件结构的操作系统中执行时,PE装载器将从 DOS MZ header 中找到 PE header 的起始偏移量。因而跳过了 DOS stub 直接定位到真正的文件头 PE header。
免杀技术详解
免杀技术详解减小字体增大字体逆流风注:本文是去年投给黑客X档案的,与那期的主题乐园内容重叠,故未被选上,我也不另投其他杂志,转贴请注明出处,保留版权。
一、加壳免杀壳按照性质不同可分为压缩壳和加密壳,使用压缩壳压缩过的软件体积会减小很多,我们常用的UPX、ASPACK、FSG就是压缩壳,加密壳是防止软件被破解而加的壳,常见的加密壳有tElock、幻影、ASProtect 等。
加壳免杀是我们常用的免杀方法,操作简单,但是免杀的时间不长,可能很快就被杀。
但是经过加花指令、修改特征码后再加壳,免杀效果就相当好了,所以我们还是有必要了解一下。
实例:用NEW、[MSLRH] v0.31a加壳免杀NEW是一款俄国人写的具有高压缩率的壳。
压缩率高,而且压缩后的程序基本不会被查杀,值得一用。
以疯狂qq大盗build0709无壳版为例,使用NEW加壳。
文件由原来的800K变成411K。
接下来我们再用加密壳[MSLRH] v0.31a来加密疯狂qq大盗build0709无壳版。
[MSLRH] v0.31a能伪装成其它壳。
先用PEiD查下疯狂qq大盗build0709无壳版,没加壳,用[MSLRH] v0.31a加壳,在“令PEiD(V.93)探测为:随便选一个壳名称,用ASPack吧。
加好后文件大小变成872K,再用PEiD探测,变成ASPack 了(如图1)。
下面对比一下加壳效果和免杀效果。
用瑞星查杀,两个加过壳的疯狂qq大盗都躲过了瑞星的表面查杀而没加壳的瑞星查出来了。
(如图2、图3)二、修改入口点免杀杀毒软件的杀毒引擎大多以文件的入口处来判断文件是否是病毒或木马。
我们通过修改文件的入口点能躲过大部分杀毒软件的查杀。
实例:将疯狂qq大盗build0709无壳版的入口点加1免杀修改入口点,我们使用的是Peditor。
首先,用Peditor打开将疯狂qq大盗build0709无壳版,看左上角文件性息中的入口点,疯狂qq大盗build0709无壳版的入口点是00063DC8,00063DC8+1=00063DC9,将入口点改为00063DC9,再点击“应用更改”,就OK了。
超全面的免杀技术经验总结
超全面的免杀技术经验总结免杀技术经验总结(感觉经典)学习免杀,首先你得学会汇编把,基础的指令要懂得一些,一般的指令修改必须会,一般的修改这里就不赘述了,接下来就是掌握一些常用的免杀技巧,这里总结一些第一:我们学习免杀的方向:只是为了保护自己的黑软的话!就不会学的那么累(没必去学汇编编程)有时候简单加下壳或者脱下壳就OK!如果是要挑战世界的杀毒软件的话,毕竟每个PC用户安装的杀软都不一样!想抓鸡拿服务器的朋友就要进修脱壳破解,高级汇编的内容了,这将决定你免杀技术的高低!第二:免杀的环境:做免杀,逃不了测试这个木马是不是修改成功!所以为了保护自己的系统,我建议学免杀要先学会使用虚拟机,很多人会说,为什么不用影子?影子系统虽然也是可以保护的,暂用资源又少,但是有些反弹型木马,我们运行后如果失败(即使成功)都需要重启来完成完全清除的工作!做过QQ盗号木马跟黑鹰远控软件免杀的朋友应该深有体会!第三:杀软的安装设置:个人建议安装卡巴,NOD32,小红伞,瑞星,金山!(当然配置好的电脑可以再加上江民,麦咖啡)!硬盘大的朋友建议全利用虚拟机安装杀软(方便以后重做系统,节省升级病毒库的时间)杀软的设置,可以说是很简单的!每安装完一个杀软,我们都要先在杀软设置里把监控跟自我保护的选项的钩去掉!然后升级病毒库!升级完后再关闭服务跟启动项(利用360安全卫士)这样安装其他的杀软就不会起冲突了!这里注意下!瑞星升级后会自己更改自己的服务为自动,所以瑞星建议最后装,最后升级,再关闭它的服务!这里我想大家肯定是关心杀软的序列号从哪来的吧!瑞星有体验版,金山有37天试用版,NOD32利用PPLOVE网络电视有180天试用!卡巴等洋货在百度上搜索均有可用的序列号!这个就是考验大家的细心了!呵呵!卡巴不建议装6.0.7.0的,人家都在央视打广告了,我们就装2009把!(虽然卡巴的启发比不上NOD32的,但是它的主动可是免杀爱好者的"粉丝")杀软的查杀特点:卡巴:主动+高启发扫描~~,效果相当厉害,卡巴的主动非常麻烦,SSDT也被封了,启发式也极难通过,还是要取决于木马本身的实力了,瑞星:国内木马的超级对手可以这么说!对国内的木马定位的特征是洋货的N倍(鸽子见证)主要查杀技术是内存查杀技术,但是对一些生僻的木马,内存病毒库里竟然没有,只要过了表面就可以过内存......主动主杀敏感字符串,不过2009的主动貌似改进了不少......广告卖的倒不错,但是只是针对流行木马!其他不常见木马并没有加大什么强度!NOD32:启发扫描的头领!主杀输入表函数,针对MYCCL定位器做过调整!定位建议用multiCCL这个来定位!不过这个大块头对生僻壳的侦壳能力不强!加些生僻壳把一些函数保护起来可以让它无用武之地!(这类壳主要是加密型,不建议用压缩型)金山:数据流查杀技术的代表!简单来说跟瑞星内存查杀技术有点一样!病毒库升级,查杀病毒速度都是超级快!但是杀毒能力比较上面的几款有点逊色!360与金山清理专家:行为查杀的代表,金山清理专家比360查杀力度还大!但是监控能力......实在不想说!不过360的5.0版加了木马云查杀,据说不是很好过(没试过~~~)以上可以说是所有集合杀软的特点:文件查杀,内存查杀,启发查杀,数据流查杀!行为查杀!主动防御!每个杀软都有自己的特点,一个人也不可能把全球杀软都安装起来研究,但是以上4个杀软跟一个辅助可以说全包括了病毒查杀特点!也不能说哪个不好,哪个很好!有些木马这个杀软杀不出来~~那个就可以杀出来!所以对于现在网上有些朋友对个别杀毒软件不重视,就会导致你所谓的"肉鸡"插翅难飞!嘻嘻!接下来就说说技巧方面的1.比如你定位一个特征码定位到了一个字符串上我们比如这个特征码定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run,遇到这个我想大家一定是修改大小写吧,但是有时候修改大小写还是被杀。
免杀常用等价替方法
sub ebx,eax----------sbb esi,ecx
==========================================================================
方法3--看附近jnz跳转该下跳转的地址/可免杀不/
JNZ 00874E85---PUSH DWORD PTR DS:[88F658]
PUSH下面MOV ECX,88C0AC就可以JNZ该到MOV连接
------------------------------------------------------------
ascll吗,基本上还可以修改大小的,还有的是看下跳转
jb-------------jg
-----------------------------------------------
CALL ---------看到了CALL跟随进去看NOP就可以把CALL的地址该成NOP
方法2--看下附近有没有MOV修该成NOP看下可以免杀不。可以的话该XOR
MOVSX 改 MOVZX
MOV EBP,ESP 改 AND AH,CH
MOV [EBP-18],ESP 改 MOV [EBP-18],AH
X开头
===========================================================================
xor 改sub
XOR [EAX],AL-------改--------MOV [EAX],AL
XOR EAX,EAX-----改-------OR EAX,EAX
免杀入门
(1)表面查杀
(2)内存查杀
(3)行为查杀.
--------------------------------------------------------------------------------------------------------
1.加壳
2.改壳
3.加花
4.反调试
5.PE变形
6.加壳,改壳,加花,变形花,变异反调试
免杀常用工具
(1)LordPE
LordPE:是一款功能强大的pe文件分析、修改、脱壳软件。
(2)Restorator
Restorator:一个简单易用的中文化工具程式。完全采用档案总管介面的操作方式,支援拖曳档案至编辑视窗操作,可简易的将资源档案拖曳到介面内资料夹,内置编辑功能视窗,修改後可用拖曳方式取代原来资源後直接回存档案。支援编辑的资源类型包括有:功能表、对话框、字串、游标、图示、点阵图等。而且也可以先将资源汇出成RC、RES资源档。
壳:压缩壳,保护(加密)壳。
---------------------------------------------------------------------------------------------------------------------------
无特征码免杀的概念
免杀的常用名词
病毒特征码:就是从病毒体内不同位置提取的一系列字节,杀毒软件就是通过这些字节及位置信息来检验某个文件是否病毒。
PE头:就是windows中特有的可执行文件头.
函数:在数学意义上,一个函数表示每个输入值对应唯一输出值。
花指令:意思是程序中有一些指令,由设计者特别构思,希望使反汇编的时候出错,让破解者无法清楚正确地反汇编程序的征码免杀,源码免杀。
免杀
不 足:只能针对一个杀毒软件进行免杀,无法针对多个杀毒软件进行作业,免杀文件的存活期短。另外,此方法也非常耗费时间。
成 功 率:理论上100%,主要看你的经验与编程、汇编的底子。不过其实只要有足够的经验与方法,成功率就异常可观了!
四、移动PE短位置
优 点:可以防范未来将要出现的特征码,并且同时可以体验DIY的乐趣,顺便打造自己的“专用木马”。
不 足:无法进行有效的免杀,效果不明显。
成 功 率:几乎100%,只要不改错地方,一般更改后的程序完全可以正常运行。
二、尽量多的更改输入表函数
操作时注意:将输入表函数移动到新位置时,函数名的第一个字母最好在本行开头,另外注意地址的填写规律,不要弄错。
五、更改文件头
操作时注意:删除部分信息时文件结构的变化。
优 点:比较节省时间,免杀效果也很明显,是免杀中的有效方法之一。
不 足:免杀时间不长。
成 功 率:大约80%左右。
我就是改改入口点.跳转下就可以了.效果还好.最简单的办法.
202.196.208.000 202.196.223.255 河南省 新乡市(新乡医学院)
免杀的操作顺序:
1.主动查找可能存在的特征码
2.用CCL等查找特征码,并将其更改
3.尽可能多的更改输入表函数
4.更改文件头
5.Vmportect区段加密
6.移动PE段的位置
7.加壳压缩
免杀分析:
一、主动查找可能的特征码
操作时注意:有关注册表、文件路径的信息最好只用大小写替换的方法,不要改成其他内容,那样容易出错。
优 点:可以防范未来将要出现的特征码,给特征码的定位带来干扰。
免杀常用方法
免杀常用方法方法一:修改字符串大小写法1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.方法二:直接修改特征码的十六进制法1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下能否正常使用.方法三:指令顺序调换法1.修改方法:把具有特征码的代码顺序互换一下.2.适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行。
方法四:通用跳转法1.修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP 又跳回来执行.2.适用范围:没有什么条件,是通用的改法,强烈建议大家要掌握这种改法.方法五:等价替换法1.修改方法:把特征码所对应的汇编指令命令中替换成功能类似的指令.2.适用范围:特征码中必需有可以替换的汇编指令.替换后指令功能要不变比如JN,JNE 换成JMP,这里要对汇编要比较熟悉,读懂指令后可以替换功能相同的指令。
也可以去查8080汇编手册[计算机专栏里有]实战特怔码免杀第一步:首先用内存定位法来准确定位瑞星内存特征码的具体位置第一阶段:自动参数中,生成文件间隔秒数设为4,最小替换字节数设为100字节。
(主要用于大体定位内存特征码)第二阶段:自动参数中,生成文件间隔秒数设为4.最小替换字节数设为4字节。
(主要用于准确定位内存特征码)第二步:修改特征码用OD打开文件,找到特怔码所在位置,并且判断适合用那种方法修改,如果对方法不太熟悉,并且特怔码不止一处,那就需要你改一处就保存并且在虚拟机里试验能否正常运行[虚拟机可是做免杀的必备工具,强烈建议你安装,因为你不可能就在自己的机器上运行木马吧?在说也不可能在你机器上同时安装N种杀软,那你机器不慢死,更重要还可以用来试验别人提供的软件有没有木马]木马免杀技术之独门绝技绝技一:快速搞定瑞星文件查杀操作步骤:第一步:用OD载入,来到程序的入口点。
免杀思路(基础)
免杀木马的方法分多种1入口点加1能达到免杀一定效果.2变化入口地址能过一些杀软的免杀3加花指令能使木马免杀4加壳或加伪装壳免杀.5打乱壳的头文件免杀.6修改文件特征码免杀.7跳转修改8字串大小转换9重建输入表等以上都是网络上流行的免杀方法入口点加1 比如我们的入口点为:00014920 我们可以在他0上加1变为00014921 变化入口地址可以使用跳转的方式来改变入口地址:JMP指令将无条件地控制程序转移到目的地址去执行.加花免杀:找段空白处例如noppush ebpnopmov ebp,espnopsub esp,3sub esp,-3mov eax,原入口点push eaxret花是可以自己修改只要掌握花指令堆栈的平衡就可以了加壳或加修改壳免杀:多重加壳或者加冷门壳可以达到免杀效果(很朋友人朋友都喜欢加壳免杀)假如我们壳被查杀了怎么办?我们可以加壳后然后修改壳的PE或者打乱壳的PE头达到免杀(不过稍微出错会导致不上线)修改特征码:用MYCCL工具定位导入文件分块个数一般100-200 开始位置E0 修改为400 有些朋友问我怎么定位不了,如果正向定位不出特征码我们可以反向定位下当定位出来特征码后我们判断不出是真伪时可以填充90或者00看看如果90或者00被杀就证明定位错误。
那就重新定位(现在许多杀软具有干扰特征定位功能了)跳转随便找空段然后NOP JMP等进行跳转字串大小转换A=a b=B重建输入表现在各大站都有工具傻瓜式操作(非常简单)时代在进步---杀软也在进步-----而我们不要跟着别人屁股后门,大胆尝试新方法。
C32常见机器码修改方法菜鸟们一定要掌握74=>75 74=>90 74=>EB75=>74 75=>90 75=>EB0F=85=0F=84(一些地方可以修改)免杀中一些指令必须掌握的(建议大家下载个汇编辅助工具免杀时很实用)破坏指针(过nod32的常见方法本人不推荐有时后破坏了和跳转用多了一个道理会导致木马不稳定)修改函数(这个对基本基础要求很高,建议新手先学习修改特征码等在学习这)加区段(常用方法比如找不到地方写花指令,我们就可以加区段)重建PE(如果特征码较多,重建PE可以减少木马的特征码)加密(涉及到算术,不过现在加密的工具比较多,也是傻瓜式的操作)左右移位(当杀软杀到木马的字串时,我们可以利用左右移位来躲开杀软)过专杀很有用修旁免杀(当一些杀软杀到重要的特征码修改后会缺失一些功能这时我们可以修改它相近的邻居也可以达到免杀的效果)指令替换(替换法就是同等指令或者使用功能相同的代码之间的替换.就像1X1=1而1除1=1他们的结果都是一样的,在程序里这种我们可以相互替换,不会影响程序的运行(汇编辅助工具可以查询)源码免杀(前提必须要有编程基础)过360安全卫士方法360查恶意软件是查找木马的字串(修改字串简单过360恶意软件)360木马查杀(也上恶意软件是一个思路)360提示和保险箱提示这是许多朋友比较关注的)主流过法有2种:第一:捆绑模拟点击程序第二:暴力K掉360就OK了360云查杀也是大家比较关注的让你的马的MD5值和一些安全类特征库相似就过了。
病毒查杀与免杀技术
病毒查杀与免杀技术一、杀毒软件的查杀原理1、特征码法杀毒软件运用特征码扫描确定某文件为病毒时,这个文件需要满足两个条件:(1)该文件中的某一位置与杀毒软件病毒库的某一位置相对应。
(2)该位置上存放的代码与病毒库中定义的该位置上的代码相同。
特征码法的特点:A.速度慢。
B.误报警率低。
C.不能检查多态性病毒。
D.不能对付隐蔽性病毒。
2、校验和法运用校验和法查病毒采用三种方式:(1)在检测病毒工具中纳入校验和法,对被查的对象文件计算正常状态的校验和,将校验和值写入被查文件中或检测工具中,而后进行比较。
(2)在应用程序中,放入校验和法自我检查功能,将文件正常状态的校验和写入文件笨身中,每当应用程序启动时,比较现行校验和与原校验和值。
实现应用程序的自检测。
(3)将校验和检查程序常驻内存,每当应用程序开始运行时,自动比较检查应用程序内部或别的文件中预先保存的校验和。
校验和法的特点:优点:方法简单、能发现未知病毒、被查文件的细微变化也能发现。
缺点:发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对什隐蔽型病毒。
3、行为监测法利用病毒的特有行为特征来监测病毒的方法。
监测病毒的行为特征:A.占有INT13HB.改DOS系统为数据区的内存总量C.对COM、EXE文件做写入动作D.病毒程序与宿主程序的切换行为监测法的特点:行为监测法的长处:可发现未知病毒、可相当准确地预报未知的多数病毒。
行为监测法的短处:可能误报警、不能识别病毒名称、实现时有一定难度。
4、软件模拟法在虚拟机中综合运用多种查杀方法就是通常所说的软件模拟法。
软件模拟法的特点:软件模拟法的长处:对病毒的判定能力最强(因为综合了多种查毒方法)。
软件模拟法的短处:扫描速度慢,查毒往往不准确。
最终结论:目前杀毒软件最主要还是依赖特征码识别技术来检测病毒。
也就是说,特征码就是杀毒软件为了判定病毒而从病毒本身提取出来的有特点的代码,我们的免杀就是专门针对这些特征码的。
分享下木马免杀的个人经验-电脑资料
分享下木马免杀的个人经验-电脑资料PE类:EXE. dll1.脱壳解密脱壳在木马免杀中由为重要!,。
所以希望大家好好学习脱壳脱壳的好坏直接影响到木马免杀效果(如果不完全脱壳,在<定位内存特征码>可能会使定位中没发现特征码但是运行中又发现木马。
)2.定位特征码一般从大范围定位后逐渐缩小范围(字节型)(个数型)一般从生成100个数的大致定位特征码后转入字节型定位。
单一文件特征码定位:CLL MYCLL multiCCL复合文件特征码定位:MYCLL multiCCL内存特征码定位:OD(一半一半定位) MYCLL multiCCL [一般都要确定你的文件是否完美完全脱壳后在进行文件特征码定位]3.特征码修改简单的等效代码转换如下:(不过有时改后也损坏文件所以看情况)push 变popje 变jnzadd 变 subadd ecx,2 可以改为sub ecx,-2加ecx内存器+2 减ecx内存器-2 - -2得=2上面的等效代码用不了还是乖乖用,JMP跳转法把特征码转移4.附加数据加密算法变形这个方法已经被pcshare冰雨发布了,就是pcshare附加数据的配置信息是xor 加密的。
被杀毒定义了所以我们只要改算法 xor 值变一下就可以了!5.RAR自解压(加密)说白就是捆绑而已呵呵,不过去除右键对部分杀毒有效无法分离出木马!可以躲避查杀而且可变性比较强所以还有用武之地!*******************************************************网页木马类: JS html htm asp 等1.拆分变量,电脑资料《分享下木马免杀的个人经验》(https://www.)。
用&连接符号,拆分变量2.加入垃圾代码。
和PE免杀花指令差不多,一些无用的垃圾变量或者空格一些特殊字符或者GIF98 类似的文件头来做“花指令”呵呵!3.等值代码修改把html全部改htm 效果一样4.代码添零在记事本中加入空格,然后用16进制的编辑器(Uedit32)打开把空格对应(20)替换成(00)即可该方法运用广泛。
常见的ASP木马免杀方法-电脑资料
常见的ASP木马免杀方法-电脑资料1.加密法常用的是用微软的源码加密工具screnc.exe,以此来躲开杀毒软件的追杀,。
优点是见效明显,一般的有害代码用此法加密后,可以存在于服务器上,发挥原有的功能.缺点是代码经过加密后,是不可识别字符,自己也不认识了。
2.大小写转换法把被杀程序里的代码,大小写稍作转换.可以躲过一般的杀毒软件。
(WORD可以转换大小写,这招对ASPX木马免杀很管用)。
3.混水摸鱼法这种方法也常奏效.fso写成"f"&vbs&"s"&vbs&"o",运行的结果是一样的,但文件却可以逃过杀毒软件的查杀。
4.图片法或组合法把代码保存为*.jpg,引用,这样,也可以躲过一劫.把很多个代码分配到1.asp,2.asp,3.asp...中,再通过#include合并起来,可逃过and 条件的杀毒软件。
5.移位,逆位,添零法这种方法也属于加密,可以用伟跟冰狐的作品。
6.asp结构特征法在程序开头跟结尾加上图片数据库之类的特征码,改变本身结构。
无论是删除一些特征,还是颠倒顺序只要能正常使用即可。
以前用screnc.exe加密都被杀了,其实网上好多加密软件都是利用这个小东西加密的。
看来这种方法现在是行不通了。
现在比较流行的就是移位、逆位、添零等。
有能力的朋友可以定位下杀毒软件的特征码或者自己编写修改。
有时候把里边的东西文字改改换换位置跟语法也能躲过查杀。
其实我感觉破坏asp的结构性是最好的免杀方法。
也看了许多文章,其中有在asp开头加入图片特征码躲过查杀,不过这种方法有的时候是没用的,于是便想起了可以改变成数据库结构。
这种工具网上也有的,不过是用来欺骗动网后台备份的。
我以原版海阳顶端木马为例,首先把ASP木马合并成数据库(copy X.mdb+X.asp X.asp),使用杀毒软件查杀,可以躲过瑞星2006、卡巴斯基反病毒6.0、Kv2006、McAfee。
免杀技术
源码配和无特征免杀
课程目录
免杀技术概述 免杀技术方法 总结
总结
通过我们以上的课程会学习到基础的免杀,但是随着杀毒软件的更新 我们会遇到更多新的技术挑战,免杀是分析各种恶意软件和各种安全 威胁的一种指导方法,我们在学习免杀技术的同时,还要从防御多角 度揭制免杀技术的具体方法策略,除了杀毒软件的主动防御以外。还 有云上传查杀,就算我们的木马过了杀毒软件,你会发现还有域名拦 截,是以主动拦截可疑上线方式的主动防御,还有网盾等等,那么我 们需要更多的学习和了解加密和主动行为技术,更好的学习免杀。
免杀技术
课程简介
本课程主要讲解了免杀技术的几种方法和常见使用手段,以及远程控 制软件和免杀结合在一起的概念,理解并学习免杀技术。
课程目录
免杀技术概述 免杀技术方法 总结
免杀技术概述
免杀的定义 免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面, 英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,翻译 为“反杀毒技术”。
免杀技术方法
修改特征码的常见技巧 等价替换法
当你定位出了杀毒软件的特征码的时候,你就要学会去修改,今天我们 来简单的说一下如何修改特征码的等价替换免杀方式,列如test eax,eax我 们就可以改成and eax,eax、sub eax,1 我们可以改成add eax,-1。 跳转法有很多比如杀在了一段代码上,我们可以把那段代码填充,然后 在OD里面再找一段空白的地方,把原来的那么短代码填充并且使用jmp指 令跳转到那段空白的地方,把杀毒杀的那段代码复制到空白处,在最下 面在用jmp、call等指令都可以再跳转回去就可以了。 当定位出特征码后直接在C32下右键然后填充00即可
免杀之谈
如果进来了就不要动,认真看完再走。
免杀技术之一:加花指令加花是病毒免杀常用的手段,加花的原理就是通过添加加花指令(一些垃圾指令,类型加1减1之类的无用语句)让杀毒软件检测不到特征码,干扰杀毒软件正常的检测。
加花以后,一些杀毒软件就检测不出来了,但是有些比较强的杀毒软件,像卡巴和NOD杀毒软件(这里我要非常严肃的说一下.个人经验.NOD32这款杀软还是不错的.加花指令和普通的壳对它完全不起作用.这杀软还是不错的.),病毒还是会被杀的。
这可以算是“免杀”技术中最初级的阶段。
免杀技术之二:加壳举例来说,如果说程序是一张烙饼,那壳就是包装袋,可以让你发现不了包装袋里的东西是什么。
比较常见的壳一般容易被杀毒软件识别,所以加壳有时候会使用到生僻壳,就是不常用的壳。
现在去买口香糖你会发现至少有两层包装,所以壳也可以加多重壳,让杀毒软件看不懂。
如果你看到一个袋子上面写着干燥剂、有毒之类的字你也许就不会对他感兴趣了吧,这就是伪装壳,把一种壳伪装成其他壳,干扰杀毒软件正常的检测。
免杀技术之三:修改特征码病毒加壳虽然可以逃过一些杀毒软件的查杀,但是却逃不过杀毒软件的内存杀毒,因此修改特征码成为逃避杀毒软件内存查杀的唯一办法。
举例来说,如果程序是一张烙饼,那特征码就像上面的芝麻,每一张饼上面的芝麻位置是不同的,所以每个程序包括病毒特定位置上面的字符也是不同,这粒用来识别是不是病毒的“芝麻” 就是特征码。
要修改特征码,就要先定位杀毒软件的病毒库所定位的特征码,这个有一定难度,需要有经验的黑客才能做到。
但是现在网络上有很多现成的工具可以定位出特征码,黑客们只需简单的修改就可以完成“免杀病毒”的制作了.加壳加壳的全称应该是可执行程序资源压缩,是保护文件的常用手段.加壳过的程序可以直接运行,但是不能查看源代码.要经过脱壳才可以查看源代码.加壳:其实是利用特殊的算法,对EXE、DLL文件里的资源进行压缩。
类似WINZIP 的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。
木马兔杀常识
六.修改文件特征码免杀法:
1.用到工具:特征码定位器,OllyDbg
2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要
达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好.
3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程.
第四部分:快速定位与修改瑞星内存特征码
一. 瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符
串作为病毒特征码,这样对我们的定位和修改带来了方便.
二定位与修改要点:1>.首先用特征码定位器大致定位出瑞星内存特征码位置
2>.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是
还有其它免杀方案可根据第五部分任意组合.
免杀操作就不能进行下去。
二.然后我们要木马的内存免杀,从上面分析可以看出,目前的内存查杀,只有
瑞星最强,其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀
,要进行内存特征码的定位和修改,才能内存免杀。
二.对符其它的杀毒软件,比如江民,金山,诺顿,卡巴.我们可以采用下面的方
免杀效果更佳.
五.打乱壳的头文件或壳中加花免杀法:
1.用到工具:秘密行动 ,UPX加壳工具.
2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好.
3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款
工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.
2.特点:非常简单实用,但有时还会被卡巴查杀.
3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可.
免杀有什么操作方法
免杀有什么操作方法
免杀是指通过特定的技术手段来规避系统的安全检测和防护机制,一般用于恶意软件或攻击程序的隐藏和潜伏。
以下是一些典型的免杀操作方法:
1. 加密与压缩:对恶意代码进行加密或压缩,使其难以被杀软件和防病毒软件检测到。
2. 多层混淆:通过多次编码、加密、混淆等手段,使得恶意代码在运行时需要解密和解码才能正常执行,增加检测的难度。
3. 反射加载:将恶意代码写入内存并在运行时动态加载,避免存储在磁盘上,难以被杀软件和防病毒软件检测。
4. 文件伪装:将恶意代码伪装成合法的文件或进程,使其不易被检测。
5. 使用漏洞利用:利用系统或软件存在的漏洞来执行恶意代码,避免被传统的杀软检测。
以上是一些常见的免杀操作方法,实际上还有很多其他的技术手段可以用于规避安全检测和防护机制。
由于免杀会给系统安全带来潜在的威胁,因此对于防范免杀攻击至关重要。
免杀环境搭建和免杀思路
免杀环境搭建和免杀思路1.影子系统的安装使用如过你以前做过免杀的话,而又没任何保护措施,那每隔十天重装系统是很平常的事了。
因为在测试木马的时候,我们都是在本机测试运行的,而有时候没卸载,或者安装的木马多了,这样对系统的稳定性都有很大的影响,电脑就运行很慢了,或者在测试木马的时候它就不上线了。
这就需要你安装一个影子系统影子的原理就和网吧的还原卡差不多了,每次重启之后,被影子系统保护的磁盘就会恢复成上次的样子,所以也就不存在上面的那些问题了我就在虚拟机里安装一个影子系统吧安装完影子系统之后,如果你想让它开机的时候就启动,就得按这样来设置一下了。
如果以后不想影子开机启动,那就在开机的时候按“↓”键,选择正常模式启动2.虚拟机(VMware Workstation)的安装使用当我们安装了影子系统之后,你会发现仅仅这样做还是不够的,因为我们在做完免杀之后,经常要测试木马的上线和功能,那每次重启也是不好的。
所以就得安装一个虚拟机了。
在虚拟机安装完后,就得新建虚拟机,然后为之安装操作系统如果想让鼠标在主机和虚拟机之间自由移动,就还得为虚拟机安装虚拟机工具然后为虚拟机联网,网络类型为NAT再就是虚拟机和主机的共享设置,虚拟机保存快照和恢复快照安装系统下载地址:如果不能下载了就自己迅雷搜索下系统名称VMware Workstation下载地址:/d/7076395b644fdc8518e67ebc01e04c06ba0d367caa4e2c02 深度技术Windows XPSP3完美精简版V6·2安装版/Deepin-LiteXP-SP3.ISO深度会员windows2000精简版/search?search=%E6%B7%B1%E5%BA%A6%E4%BC%9A%E5%91%9 8-windows%202000&restype=-1&id=10000002&ty=0&pattern=0Windows Server 2003 SP2 企业版ISOftp://222.73.230.104/Windows Server 2003 SP2 企业版.iso企业版产品密钥:JCGMJ-TC669-KCBG7-HB8X2-FXG7M3.杀软安装和多个杀软的安装技巧要免杀,我们就得安装杀毒软件吧,那使用和安装杀软也是有技巧的,我们要安装这么多的杀软,那也不可能全去购买吧,那就得找试用版或找它们的注册码了。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
适用范围:特征码所对应的内容必需是字符串,否则不能成功.(注意:函数不能用这种方法)
直接修改特征码的十六进制法(特征码十六进制加减1、nop)
修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制、码所对应的十六进制,修改后一定要测试一下能否正常使用.
四.加花指令免杀要点:
由于黑客网站公布的花指令过不了一段时间就会被杀软辨认出来,所以需要你自己去搜集一些不常用的花指令,另外目前还有几款软件可以自动帮你加花,方便一些不熟悉的朋友,例如花指令添加器等。
四 改入口点免杀法:
1.改入口点免杀原理:杀毒软件一般都检测病毒还原之后的代码,而且一般都把代码段开始的前40个字节作为特征值.入口点改变了,说明也就破坏了特征码,这样就达到免杀的效果.
文件免杀方法:
1.加冷门壳
2.加花指令
3.改程序入口点
4.改木马文件特征码的5种常用方法
5.还有其它的几种免杀修改技巧
内存免杀方法:
修改内存特征码:
方法1>直接修改特征码的十六进制法
方法2>修改字符串大小写法
方法3>等价替换法
方法4>指令顺序调换法
方法5>通用跳转法
2.改入口点免杀方法一:入口地址加1法.
操作步骤:
第一步:配置一个无壳的木马服务端.
第二步:用PEditor打开木马程序服务端.在入口点处的地址加1.然后点应用更改就可以了.
评论:该方法对不同木马程序,有不同的效果,其它杀毒软件一般都可以躲过,但有些程序改过后还是被卡巴查杀.同时也不能过内存查杀,但以后结合加花指令,加壳等等方法,效果将非常不错.
方法一:直接修改特征码的十六进制法
1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.
2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下能
否正常使用.
方法二:修改字符串大小写法
1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.
4.选代码区域->转存->F9保存
5.测试运行->可以成功运行
6.用UPX压缩一下,缩小体积,OK 免杀成功
总结:虚拟机加密代码是比较新的免杀技术,可以和其他免杀技术有机的集合在一起,让你的木马变成金刚不坏.大家要多多掌握。
二 壳中改籽技术免杀
这种免杀很少有人用,所以免杀效果非常好,各大黑客网站也很少见到介绍,这里我把别人做黑洞免杀的文章发到这里,供大家研究.估计是浩天写的文章
4选择文件中的 特征码检测,,文件特征码检测,,,打开程序(要定位特证码的程序)
5在弹出的PE窗口中 直接点确定 ,之后弹出的窗口在点确定
6然后等CLL生成完毕之后用杀毒软件进行查杀
7在CLL中选 操作,结果定位,选中刚刚用来存放检测结果的文件夹
8在CLL中选
文件免杀之加花指令法
一.花指令相关知识:
木马的免杀[学用CLL定位文件和内存特怔码]
1.首先我们来看下什么叫文件特征码.
一般我们可以这样认为,一个木马程序在不运行的情况下,用杀毒软件查杀,若报警为病毒,说明存在该查毒软件的文件特征码的。
2.特征码的二种定位方法.
手动定位和自动定位
3.文件特征码的定位技巧.
通常用手动确定大范围,用自动精确定位小范围.
第四步:从这个零区域的起始地址开始一句一句的写入我们准备好的花指令代码。
第五步:花指令写完后,在花指令的结束位置加一句:JMP 刚才OD载入时的入口点内存地址。
第六步:保存修改结果后,最后用PEditor这款工具打开这个改过后的木马程序。在入口点处把原来的入口地址改成刚才记下的零区域的起始内存地址,并按应用更改。使更改生效。
1.修改方法:把具有特征码的代码顺序互换一下.
2.适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行
方法五:通用跳转法
1.修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.
2.适用范围:没有什么条件,是通用的改法,强烈建议大家要掌握这种改法.
七.木马免杀的综合修改方法
三.加花指令免杀技术总节:
1.优点:通用性非常不错,一般一个木马程序加入花指令后,就可以躲大部分的杀毒软件,不像改特征码,只能躲过某一种杀毒软件。
2.缺点:这种方法还是不能过具有内存查杀的杀毒软件,比如瑞星内存查杀等。
3.以后将加花指令与改入口点,加壳,改特征码这几种方法结合起来混合使用效果将非常不错。
其实是一段垃圾代码,和一些乱跳转,但并不影响程序的正常运行。加了花指令后,使一些杀毒软件无法正确识别木马程序,从而达到免杀的效果。
二.加花指令使木马免杀制作过程详解:
第一步:配置一个不加壳的木马程序。
第二步:用OD载入这个木马程序,同时记下入口点的内存地址。
第三步:向下拉滚动条,找到零区域(也就是可以插入代码的都是0的空白地方)。并记下零区域的起始内存地址。
适用范围:没有什么条件,是通用的改法,强烈建议大家要掌握这种改法.
指令顺序调换法:
修改方法:把具有特征码的代码顺序互换一下.
适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行
修改字符串大小写法:
修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.
一 虚拟机加密免杀
最新免杀技术——虚拟机加密代码应用并非传统的修改特征码,也不是修改入口点+花指令,更不是
加壳压缩!是最新的一种免杀技术!借于这种技术你可以千变万化,是免杀对新手来说更为简单!
大家对虚拟机vmprotect是否有所了解,这个是最新的加密工具!可以加密PE文件中任何一句或一段代码
等价替换、通用跳转、指令顺序调换、大小写替换、特征码十六进制加减1、NOP、填0、以及特殊常见指令的修改方法
等价替换:
修改方法:JMP = JE JNE je改成jle ja/jle
适用范围:把特征码所对应的汇编指令命令中替换成类拟的指令
通用跳转法:
修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.(可以换成push xxxx retn)
2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.
方法三:等价替换法
1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.
2.适用范围:特征码中必需有可以替换的汇编指令.比如JN,JNE 换成JMP等.
如果和我一样对汇编不懂的可以去查查8080汇编手册.
方法四:指令顺序调换法
为什么我一再提到这个区段呢?其实它就是文章的重点,也就是壳里面的籽。继续脱壳,用UPXShell打开修复好的黑洞服务端,点击解压缩,完成后我们可以看到程序由原来的201kb变成了506KB ,大了一倍多。
有人可能要问为什么一定要给它脱壳呢?直接修改不可以吗?其实主要是因为黑洞的服务端里还有一个用做键盘记录的dll文件,它也要做免杀处理。用 Resscope1.92打开黑洞的服务端,这个可是绝好的exe资源编辑器啊,先选择dllfile里面的getkey,然后点击文件→导出资源,这样dll文件就导出来了。它也是用upx加的变态壳,因为区段被加密了,所以我们也要给它脱壳,再加壳。脱壳的过程和先前脱黑洞服务端一样先用upxfix.exe打开它,但是这里注意在Decompress method里面,不要选择5,而是选择2修复,不然的话就脱不了壳了。
3.改入口点免杀方法二:变换入口地址法.
操作步骤:
第一步:用OD载入无壳木马程序服务端.
第二步:把入口点的开始二句代码(大都为push ebp mov ebp,esp).移到零区域也是就空白区域地方.并记下零区域的内存地址.同时在后面加一句跳转命令:JMP 到第三条指令的地址.
第三步:然后修正并保存,最后用PEditor打开该程序.把入口点改成刚才在零区域记下的内存地址.
test eax, eax
很多程序都是用test eax, eax来做检测返回值是否为0,那么遇到test eax, eax 那么可以直接改or eax, eax
call
例子:call 11111111
改成 call 22222222 (22222222为0区域)
2222处jmp 11111111
00404075 . 8BEC MOV EBP,ESP
00404077 . 83C4 F0 SUB ESP,10
--------------------------------------------------------------------------------
4.add ecx,2 可以改为 sub ecx,-2
(加ecx内存器+2 减ecx内存器-2 - -2得=2)
(特征码:0046B897)
0046B897: 83C4 F0 ADD ESP,-10 sub ESP,10
5.push 变 pop
(特征码:0046B96D)
PUSH EBP—POP EBP
PUSH EDX—POP EDX
POP EDX—PUSH EDX
6.je 变 jnz
(特征码:004230F6)
LOOPD SHORT *.*—JNZ SHORT *
7.add 变 sub
8.call跳转
call A (原地址)
先讲一下为什么这种技术叫“壳中改籽”。配置一个黑洞的服务端,然后用PEiD.exe来查看它是用什么加的壳,查到是UPX加的变态壳,程序的区段都给隐藏了,那么先得给黑洞服务端脱壳。用 upxfix.exe打开它,然后在Decompress method里面选择5,点击fix,这样就修复了。再用PEiD.exe查一下,看现在可以看到区段了吧。