A-A+

木马免杀技术之独门绝技[转]

2007年08月23日 网络 暂无评论 阅读 浏览:1,577 次
绝技一:快速搞定瑞星文件查杀
操作步骤:
第一步:用OD载入,来到程序的入口点。
第二步:把入口点的第一句PUSH EBP 改成POP EBP 然后保存就可以躲过瑞星的表面查杀。
绝技二:快速定位与修改瑞星内存特征码
原理:因为目前的内存查杀杀毒软件,只有瑞星才能威胁到我们的木马。也就是说只要搞定瑞星的内存查杀,那我们的木马在内存就畅通无阻了. 但由于技术原因,目前瑞星的内存特征码在90%以上把字符串作为病毒特征码,
这样对我们的定位和修改带来了方便.
操作步骤:
第一步:首先用特征码定位器大致定位出瑞星内存特征码位置.
第二步:然后用UE打开,找到这个大致位置,看看,哪些方面对应的是字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征码后,只要把字符串的大小写互换就能达到内存免杀效果.
绝技三:如何快速躲过诺顿的查杀
诺顿的查杀特点:大家有时候会发现,通过改特征码,加花指令,改内存特征码,等等,卡巴,江民,金山,瑞星都过了,但无论如何都过不了诺顿,这时候是不是感到很纳闷.其实诺顿特征码的定义和其它杀毒软件不一样,其它杀毒软件的特征码都在代码段而只有它把特征码定义在PE头文件里面.而在头文件里面,一般都用字符串作为病毒特征码,知道了原理,就有下面的二种方法来应付.
方法一:只要把头文件的字符串的大小字互换一下就可以搞定了.
方法二:有二款压缩软件WinUpack和北斗星,经过他们的压缩,会把我们的木马程序的头文件改的面目全非.所以把我们的木马做好其它的杀毒软件的免杀后,再用这二款压缩软件的压缩就可以躲过诺顿的查杀.
绝技四:一个不太通用的免杀方法
免杀方法一:把入口点第三句开始的几行(20字节内)汇编代码移到零区域去执行,也达到一定的免杀效果.
绝技五:用VC++加了花指令后入口点下移法
操作过程:加花指令后,可以把入口点下移好一位,这样可以进一步达到免杀效果.
一.木马免杀综合方案
修改内存特征码---
1>入口点加1免杀法 1>加压缩壳1>--->再加壳或多重加壳
2>变化入口地址免杀法 2>加生僻壳--->2>加壳的伪装.
3>加花指令法免杀法 3>加压缩壳3>--->打乱壳的头文件
4>修改文件特征码免杀法
以上免杀方法可以自由组合成多种不同的免杀方案。
二.常用免杀方案
1.实例完全免杀方案一:
内存特征码修改+加UPX壳+秘密行动打乱壳的头文件。
所需工具:UPX加壳工具,秘密行动
2.完全免杀方案二:
内存特征码修改+加花指令+加压缩壳
3.完全免杀方案三:
内存特征码修改+加压缩壳+加壳的伪装或多重加壳
4.完全免杀方案四:
内存特征码修改+去头变换入口点地址+压缩壳
5.完全免杀方案五:
内存特征码修改+修改各种杀毒软件特征码+压缩壳
6.完全变态免杀方案六:
内存特征码修改+加花指令+去头变换入口点+加UPX壳+用秘密行动打乱壳的头文件
三.解决加花指令后运行出错问题
1.分析其原因:我们加花指令时,一般都找代码段最后面的空白代码地方也就是所谓的零区域,然后把我们准备好的花指令填进去,然后一个跳转跳到入口点。但是我们木马的体积比较大,从入口点到最后面零区域的间隔比较远,所以从低部跳到头部由于间隔较远就非常容易出错。
3.新研究的免杀方法完美的解决了该问题:我把它取名为:中间过渡跳转法
实例演示:中间过渡跳转法来修改灰鸽子V1.22版或VIP2.0版。
中间过渡中转法实现原理:首先我们在代码段的中间位置,备份部分代码,然后把我们要添加的花指令写进去,写完后,再跳到零区域,在这个零区域填入刚才我们备份好的代码.填完后又要跳回填入花指令的生面.总之一句话:把花指令填在代码中间,被花指令覆盖的代码移到零区域去执行,然后又要跳回来.最后把入口点改成花指令的首地址.这样就算完事了.
4.该新的免杀技术优点:以前的花指令只能填到零区域,也就是说入口点一般都比较后面,所以有时会被卡巴查杀,但有了这种新方法后,程序入口点就变的非常灵活,可以定位在代码段的任何位置,每定位一个新的入口点就是一种新的免杀方案.而且这种方法对付卡巴也很有效.把入口点放到代码段的中间,是杀毒软件万万想不到的,所以免杀效果是最好的.同时他解决了由于跳转太远使程序无法运行的缺点,所以这种方法是相当完美的免杀方法.希望大家灵活运用

绝技一:快速搞定瑞星文件查杀  操作步骤:第一步:用OD载入,来到程序的入口点。第二步:把入口点的第一句PUSH EBP 改成POP EBP 然后保存就可以躲过瑞星的表面查杀。
绝技二:快速定位与修改瑞星内存特征码原理:因为目前的内存查杀杀毒软件,只有瑞星才能威胁到我们的木马。也就是说只要搞定瑞星的内存查杀,那我们的木马在内存就畅通无阻了. 但由于技术原因,目前瑞星的内存特征码在90%以上把字符串作为病毒特征码,这样对我们的定位和修改带来了方便.操作步骤:  第一步:首先用特征码定位器大致定位出瑞星内存特征码位置. 第二步:然后用UE打开,找到这个大致位置,看看,哪些方面对应的是字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征码后,只要把字符串的大小写互换就能达到内存免杀效果.
绝技三:如何快速躲过诺顿的查杀  诺顿的查杀特点:大家有时候会发现,通过改特征码,加花指令,改内存特征码,等等,卡巴,江民,金山,瑞星都过了,但无论如何都过不了诺顿,这时候是不是感到很纳闷.其实诺顿特征码的定义和其它杀毒软件不一样,其它杀毒软件的特征码都在代码段而只有它把特征码定义在PE头文件里面.而在头文件里面,一般都用字符串作为病毒特征码,知道了原理,就有下面的二种方法来应付.
方法一:只要把头文件的字符串的大小字互换一下就可以搞定了.方法二:有二款压缩软件WinUpack和北斗星,经过他们的压缩,会把我们的木马程序的头文件改的面目全非.所以把我们的木马做好其它的杀毒软件的免杀后,再用这二款压缩软件的压缩就可以躲过诺顿的查杀.
绝技四:一个不太通用的免杀方法免杀方法一:把入口点第三句开始的几行(20字节内)汇编代码移到零区域去执行,也达到一定的免杀效果.
绝技五:用VC++加了花指令后入口点下移法操作过程:加花指令后,可以把入口点下移好一位,这样可以进一步达到免杀效果.
一.木马免杀综合方案修改内存特征码---
1>入口点加1免杀法 1>加压缩壳1>--->再加壳或多重加壳                  2>变化入口地址免杀法 2>加生僻壳--->2>加壳的伪装.                  3>加花指令法免杀法 3>加压缩壳3>--->打乱壳的头文件                  4>修改文件特征码免杀法以上免杀方法可以自由组合成多种不同的免杀方案。
二.常用免杀方案
1.实例完全免杀方案一:    内存特征码修改+加UPX壳+秘密行动打乱壳的头文件。    所需工具:UPX加壳工具,秘密行动2.完全免杀方案二:   内存特征码修改+加花指令+加压缩壳3.完全免杀方案三:    内存特征码修改+加压缩壳+加壳的伪装或多重加壳4.完全免杀方案四:     内存特征码修改+去头变换入口点地址+压缩壳5.完全免杀方案五:   内存特征码修改+修改各种杀毒软件特征码+压缩壳6.完全变态免杀方案六:   内存特征码修改+加花指令+去头变换入口点+加UPX壳+用秘密行动打乱壳的头文件
三.解决加花指令后运行出错问题1.分析其原因:我们加花指令时,一般都找代码段最后面的空白代码地方也就是所谓的零区域,然后把我们准备好的花指令填进去,然后一个跳转跳到入口点。但是我们木马的体积比较大,从入口点到最后面零区域的间隔比较远,所以从低部跳到头部由于间隔较远就非常容易出错。
3.新研究的免杀方法完美的解决了该问题:我把它取名为:中间过渡跳转法实例演示:中间过渡跳转法来修改灰鸽子V1.22版或VIP2.0版。中间过渡中转法实现原理:首先我们在代码段的中间位置,备份部分代码,然后把我们要添加的花指令写进去,写完后,再跳到零区域,在这个零区域填入刚才我们备份好的代码.填完后又要跳回填入花指令的生面.总之一句话:把花指令填在代码中间,被花指令覆盖的代码移到零区域去执行,然后又要跳回来.最后把入口点改成花指令的首地址.这样就算完事了.
4.该新的免杀技术优点:以前的花指令只能填到零区域,也就是说入口点一般都比较后面,所以有时会被卡巴查杀,但有了这种新方法后,程序入口点就变的非常灵活,可以定位在代码段的任何位置,每定位一个新的入口点就是一种新的免杀方案.而且这种方法对付卡巴也很有效.把入口点放到代码段的中间,是杀毒软件万万想不到的,所以免杀效果是最好的.同时他解决了由于跳转太远使程序无法运行的缺点,所以这种方法是相当完美的免杀方法.希望大家灵活运用

标签:

给我留言

Copyright © 龙网博客 保留所有权利.   Theme  Ality

用户登录