分享木马的免杀技术经验
互联网 发布时间:2008-10-08 21:26:54 作者:佚名 
我要评论
我要评论木马免杀,在国内应该起源于05年吧.从那时单一特征码到现在复合特征码,杀毒软件从无主动防御到有主动防御.免杀技术越来越难.但是万变不离其宗--改特征码.到现在一些辅助软件的行为查杀.
以下讲解都是以远程控制软件为例(这里补充一个概念,木马的反弹技术,就是服务端主
木马免杀,在国内应该起源于05年吧.从那时单一特征码到现在复合特征码,杀毒软件从无主动防御到有主动防御.免杀技术越来越难.但是万变不离其宗--改特征码.到现在一些辅助软件的行为查杀.
以下讲解都是以远程控制软件为例(这里补充一个概念,木马的反弹技术,就是服务端主动连接客户端.何谓主动连接呢,你只要把客户端软件在本机上开启后,中马的机子会主动连接上你的那个软件,而不必你去找他的IP,再与他连接,这样省去了不少麻烦)
因为现在的主动防御太强悍,尤其是卡巴,瑞星的主动防御是基于特征码,所以很容易过.选远控软件的时候应该选一个本身就过杀软的,如PCSHARE,iRaT Classic,gh0st等等,我个人觉得这几个软件都不错,而且免杀容易.
行为查杀:大多数的木马有默认的释放路径,而且安装好后有几个专用名词,如灰鸽子安装好后,就用"灰鸽子安装完毕","黑防鸽子"安装好后有"黑防专版"等字样,这些都是作为行为查杀木马的特征.配置时候把路径改掉,配置好后用C32ASM把里面的字符找到后替换掉就可以了.
最关键的我还是认为是特征码,也许大多数的人认为是主动防御.因为从我用马的经验来说,像PCshare,iRaT Classic等,只要改了特征码后,主动照过.因为这些软件本身就过杀软的主防.讲一下我改特征码的经验吧:
1,定位出特征码后,不要急着改特征码,应该先看看前面与后面的,我定位PCSHARE的时候定位出system.sys(小数点是被杀的,也就是特征码),而我把小数点前面的system改成大写后就过那款杀毒软件了。这就说,不要定位到哪里,就改到哪里。
2,定位到CAll时,应该试试这样:例,定位到call 12345678,这样一个,你试试改成 call 12345677,就是减1,这种方法很有用
3.定位到PE头时,应该PE头移位,我不详细讲,这个网上看看方法,很简单的,只是简单的计算一下,移位一下。第二种方法,我听群里朋友说,但自己还没有试过,就是用北斗加一下壳,然后再脱壳,这样可以免杀,
4,定位到输入表时,也是相应的移位,这个网上方法也很多。因为是浅谈嘛,所以不详细说,只是提示一下,你在查免杀方法的同时,会学到很多
5,第五是加一减一法,如果定位到数字或者其它什么符号时,加一减一试试,这个我也试过,有时候挺有用的
6,先加一个壳,再定位特征码,这样能减少特征码的修改。
7.跳转法。找个零区域,或者自己插入一个更佳,把代码移到零区域,这是一种常用的方法
8.对付卡巴,花指令很有效的,花指令如何写呢,首先花指令就是一堆废话,没有用的,你惟一要做的就是维持堆栈平衡,不然要出错的。
9,学习免杀应该懂一些十六进制工具,汇编工具,也应该懂一些汇编,其它改多了就好。推荐大家去下具的网址:www.pediy.com(这是一个大大有名的网站,看雪论坛),还有甲壳虫www.jksing.com/bbs里面有很多的免杀资料还会不定时的公布一些免费的DAT文件。
以下讲解都是以远程控制软件为例(这里补充一个概念,木马的反弹技术,就是服务端主动连接客户端.何谓主动连接呢,你只要把客户端软件在本机上开启后,中马的机子会主动连接上你的那个软件,而不必你去找他的IP,再与他连接,这样省去了不少麻烦)
因为现在的主动防御太强悍,尤其是卡巴,瑞星的主动防御是基于特征码,所以很容易过.选远控软件的时候应该选一个本身就过杀软的,如PCSHARE,iRaT Classic,gh0st等等,我个人觉得这几个软件都不错,而且免杀容易.
行为查杀:大多数的木马有默认的释放路径,而且安装好后有几个专用名词,如灰鸽子安装好后,就用"灰鸽子安装完毕","黑防鸽子"安装好后有"黑防专版"等字样,这些都是作为行为查杀木马的特征.配置时候把路径改掉,配置好后用C32ASM把里面的字符找到后替换掉就可以了.
最关键的我还是认为是特征码,也许大多数的人认为是主动防御.因为从我用马的经验来说,像PCshare,iRaT Classic等,只要改了特征码后,主动照过.因为这些软件本身就过杀软的主防.讲一下我改特征码的经验吧:
1,定位出特征码后,不要急着改特征码,应该先看看前面与后面的,我定位PCSHARE的时候定位出system.sys(小数点是被杀的,也就是特征码),而我把小数点前面的system改成大写后就过那款杀毒软件了。这就说,不要定位到哪里,就改到哪里。
2,定位到CAll时,应该试试这样:例,定位到call 12345678,这样一个,你试试改成 call 12345677,就是减1,这种方法很有用
3.定位到PE头时,应该PE头移位,我不详细讲,这个网上看看方法,很简单的,只是简单的计算一下,移位一下。第二种方法,我听群里朋友说,但自己还没有试过,就是用北斗加一下壳,然后再脱壳,这样可以免杀,
4,定位到输入表时,也是相应的移位,这个网上方法也很多。因为是浅谈嘛,所以不详细说,只是提示一下,你在查免杀方法的同时,会学到很多
5,第五是加一减一法,如果定位到数字或者其它什么符号时,加一减一试试,这个我也试过,有时候挺有用的
6,先加一个壳,再定位特征码,这样能减少特征码的修改。
7.跳转法。找个零区域,或者自己插入一个更佳,把代码移到零区域,这是一种常用的方法
8.对付卡巴,花指令很有效的,花指令如何写呢,首先花指令就是一堆废话,没有用的,你惟一要做的就是维持堆栈平衡,不然要出错的。
9,学习免杀应该懂一些十六进制工具,汇编工具,也应该懂一些汇编,其它改多了就好。推荐大家去下具的网址:www.pediy.com(这是一个大大有名的网站,看雪论坛),还有甲壳虫www.jksing.com/bbs里面有很多的免杀资料还会不定时的公布一些免费的DAT文件。
相关文章
- 很多游戏服务器租用的时候会出现一些封UDP的字眼,网上一些文章也说UDP协议不可靠!为什么要封UDP呢?既然不可靠,为什么有些人还要使用它呢?今天与你们分享一下UDP,希望2024-05-07
- 魔兽世界服务器被攻击在目前来说也是比较常见的,同行竞争激烈,在官服开放时也遇到过DDOS攻击,要是飞飞没记错是在22年9月14日,从刚开始的身份验证服务器出现问题,到确2023-07-17
- 这篇文章主要分享一下五大免费企业网络入侵检测(IDS)工具,当前企业对于网络安全越来越重视,那么后期可能就需要大家多多关注一些安全工具的使用于检测2019-12-01
网络协议是什么呢?网络协议是网络中计算机或设备之间进行通信的一系列规则集合。本文中小编介绍的是网络协议和安全威胁的关系,需要的朋友不妨阅读本文了解一下2019-04-02
DDoS攻击是由DoS攻击转化的,这项攻击的原理以及表现形式是怎样的呢?要如何的进行防御呢?本文中将会有详细的介绍,需要的朋友不妨阅读本文进行参考2019-01-15
本文中介绍的是基于Web攻击的方式发现并攻击物联网设备,感兴趣的朋友不妨阅读本文进行了解2019-01-11
起首说说挟制路由器是什么意思,路由器挟制平日指的是,开启了无线网络功效的无线路由器,攻击者经由过程破解无线暗码衔接上无线网后,再登录路由治理界面来节制全部无线网2018-05-16
大势至共享文件监控软件、共享文件权限管理软件主控端与客户端的连接设
这篇文章主要介绍了大势至共享文件监控软件、共享文件权限管理软件主控端与客户端的连接设置方法详解,,小编觉得还是挺不错的,具有一定借鉴价值,下面就来和小编一起看看2018-01-25
详细介绍sd卡加密软件的选择以及给sd卡设置密码、给sd卡加密
这篇文章主要介绍了详细介绍sd卡加密软件的选择以及给sd卡设置密码、给sd卡加密,如何保护sd卡文件的安全,如何给SD卡设置密码、如何给SD卡加密,下面就跟小编一起来看看吧2018-01-19
server2008共享设置、服务器共享文件设置、服务器设置共享文件夹的方法
这篇文章主要介绍了server2008共享设置、服务器共享文件设置、服务器设置共享文件夹的方法详细介绍,保护服务器共享文件设置访问权限,让每个部门只访问自己的共享文件等,2018-01-19
最新评论