星星电脑技术论坛 » 系统安全中心 » 木马免杀浓缩精华版教程

李宜超 发表于 2007-8-7 17:42

木马免杀浓缩精华版教程

[size=14px]　　　　　　     第一部分：对国内外杀毒软件分析
L*Tv8X#J0GUl G !|'][z E(ws

lKZ$Q+M&n P7}J 　
2Fj.L6L3aA u4V)| V b6x 　　在讲定位内存特征码前，先要分析国内外著名杀毒软件的内存查杀特点。veGdu2w:u
LkR+K&o'{lwR
大家在使用木马过程都会发现，内存查杀，一般都指得被瑞星的内存查杀。瑞星
E5cQ#dl3nR
h Qp,C2C2nC 的内存查杀功能是同类杀毒软件中最强的一款杀毒软件。像强悍的卡巴，金山，
0hr6r3Zr_S xm|DE
等等它们的内存查杀意义不大,会制作免杀木马的人都知道,像这类杀毒软件,只要
{{F2q I|L4} S (^
pe-@6Cv[
文件免杀,内存也就免杀了.还有江民也有内存查杀功能,但内存查杀功能比较弱.只
V"K[}5s-pp&Sx,XR)Z
W/t K5f5rJa{ 针对影响力非常大的病毒程序.一般的黑客软件都没有提取内存特征码.
E.jL2M;?#HD vsy9B#B
fMT:D
h%V
　　　　　　　　　　　第二部分：木马免杀的对策
:U6\ U3yv}D(u (YJ5kBL@.F
　一.　要使一个木马免杀，首先要准备一个不加壳的木马，这点非常重要，否则8v7krpm

4b7m Idm;y 下面的免杀操作就不能进行下去。 wG,ve$ile {$j!j

y s1a:aBw^Q 　二.然后我们要木马的内存免杀，从上面分析可以看出，目前的内存查杀，只有
O%O7A8t9N*ix9i
RRI_ Df9x-b&W7b
瑞星最强，其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀
\6a.[V{%`[A5rh
2njD\9_._.VS${7iS ，要进行内存特征码的定位和修改，才能内存免杀。#G2Be`e.r0h,[
:GA$c*a"r(Q
f%C e
　二.对符其它的杀毒软件，比如江民，金山，诺顿,卡巴.我们可以采用下面的方
5oDYF1T+d&C ?
T(p!aF"n#ti 法,或这些方面的组合使用.1>.入口点加1免杀法..Ni8_\H
Q k!@+I&_(jd x\
                      2>.变化入口地址免杀法
Hf1KXR#Qh                 3>.加花指令法免杀法
+lXRbV"e
[s~Y9C7we                 4>.加壳或加伪装壳免杀法.
YoZ;[kx 1}UP.O4n{O
                        5>.打乱壳的头文件免杀法.
b+fF&C)fO+E
2fv:WW6|#z S4MK2k:o                         6>.修改文件特征码免杀法.
'h3J G lz@/T(u'N0Ax
^'B+@yhg5Vqd {i xZ4LNI(}h4n
-|1J2S Y ?buD
                        第三部分:免杀技术实例演示部分
)zC)i:n%yt
G3t^? -[0cco:k#d4i

d"Fv8H1@ ^1|usB1g ~v^
一.入口点加1免杀法:
jpkf_
-]*\]b:T W*U;D 1.用到工具:$Editor
+U?M VQ??

SY.[[pne |w 2.特点:非常简单实用,但有时还会被卡巴查杀.kH/DJ!P#w
v'uz5AMg"{
3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可.
5D|mK;R
aU&u}G}0Wni
^G}6txU4u3w(W 二.变化入口地址免杀法:
XqZ xi![
k$c_E f!E0@
zJ4NJ6c 1.用到工具:OllyDbg,PEditorPD1Bi^Ihm%A
|,G`EH0q'Q/D3od
2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳.jm7oj4S|
o9\p
l#ME
3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后V7l
Ay ^ z3?

{?I4]:^'k'ei S 又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址.Et4U/@a
2l4u#@f
q,W7F.k5mS
三.加花指令法免杀法:
:Z$v-jxv6D V&fomzW"q
1.用到工具:OllyDbg,PEditor
@Q"KL}[:s8C:__ &eS H {2Fl
Iqs c*O F
2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀.
Ub&y7H8|LI \y4a.l^
3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去W#y5s| ]bO;W)Eb

Sdv(X:W1mB 填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令
i,X^c5Q.y&Fo
!hn*zMGI 的着地址.O#J s@[*`+o.y9R
(|"fP!M!i,sE
9Qa"}5z1Z
                        四.加壳或加伪装壳免杀法:
8^3f;b7z6v(z{l e8o n6W(~v N;_n
%_#cR:rx0bpT@ |)~i
X8b I`6y d){)L&YKn
1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等.
4Ssz2m~ T;w.uH5c8B'[
2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀.!cvn)i:L7d9\
1@Ut3u9R*A
3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的
9DL:P J-}`S cZ"`8T@ i|
RV
免杀效果更佳.
3Q;b]eN t
|mY_:m6xN
2Z5Q4Y8}j                             五.打乱壳的头文件或壳中加花免杀法:
zJSO:Q
c$c iC~ 1.用到工具:秘密行动 ,UPX加壳工具. V n*OU/Dz_j

6R?&Z"wbm 2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好.6w5A(tzUx

/^4d:aC vi P 3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款
7ms}*j
~
D-GT)x ^*w
+^KFp I
@ 工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.
"pHP2c;W-? 0U;_N'G3mj&QUR
^8g @7XQ
                                六.修改文件特征码免杀法:
D8\4ATAc].@
3a7qEv}%c
z:a
N~X.H&j~ 1.用到工具:特征码定位器,OllyDbg
r|#R5JK!_a "IG)]*Gno@F
2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要
#f;e)zco7c:r (~6lC1L+c3zt
达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好.
+w'C&K"wQ+w &f.VgB2|0k)k
3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程.tv4` kSz
f H$K8JQ.E5V

A)u(_vZ
;oh7r x*k*sa2}                                 第四部分:快速定位与修改瑞星内存特征码
2L V;t6na0g
;{ U.w5AM?c:Ef!p o%A 一.　瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符
JP'Z;iU(t'Vlm
W.S'@#b
Oy8T4M{3dn 串作为病毒特征码,这样对我们的定位和修改带来了方便.
8sa2k6ABc.k0J:M
j%];L:p A'U*N&_0]g
R yO%lr+Sro 二定位与修改要点:1>.首先用特征码定位器大致定位出瑞星内存特征码位置:zFYK g2p
k"E'Rl"Zf
          2>.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是 ZHD!}S O6e:Dc

$nU2t:g2LN             字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征$H \G fL!v_!s
;Wx4J4p/{~Iel
            码后,只要把字符串的大小写互换就能达到内存免杀效果.
#V?hQ#q"eg
S
2xom,]:qp Y;s5_L)a3i%_

:y[;@J^ I4m                                   第五部分:木马免杀综合方案!i,aP r+cFxF

j%[W-_W SW\R;d4od
修改内存特征码--->1>入口点加1免杀法---> 1>加压缩壳--->1>再加壳或多重加壳+["f/@4G)F\N7G
Qxe&f/yT
            2>变化入口地址免杀法 2>加成僻壳   2>加壳的伪装.
Vo Q x|m                                                         3>加花指令法免杀法           3>打乱壳的头文件
%z%N$T1| AE5N)O9z:P g@fVr#y/ls
            4>修改文件特征码免杀法(?8D-Ct5EY/i1k

:i#imE,{Q4Wf9|
o/uN`I3{[:GV 注:这个方案可以任意组合各种不同的免杀方案.并达到各种不同的免杀效果.*|?Nwld
k,N_9]/T.R@
]%\?[Ou[%KL
                                第六部分:免杀方案实例演示部分
j-K q+c.Mu/h\
B$pjJ-f7y!IA
]'X&Fm&m ]*evFU vb 1.完全免杀方案一:W"{:~#]A8Dv'Z
O/]4\K$vi
  内存特征码修改 + 加UPX壳 + 秘密行动工具打乱UPX壳的头文件.\n7FdZ+kq

`1?)a4Z ?D XW)b%B+W)}
2.完全免杀方案二:y*P(W4@Se5hm
e,OS:[v2Vh__Nn
  内存特征码修改 + 加压缩壳 + 加壳的伪装I2_.tm9IVshy7~q
,`%X \)X.Sn*PS

V\zKeh&bI 3.完全免杀方案三:
Y&E%e3L:NyQ$O2hi +Fsl8s5P;]^$o
  内存特征码修改 + 修改各种杀毒软件的文件特征码 + 加压缩壳
0LGK4pB/N+KVjY *kst3T3pm;z ~
/H(Ld/\:s
4.完全免杀方案四:
_q
[5`iP)I$Ul
JQ4o!?x 内存特征码修改 + 加花指令 + 加压壳
IdhA~n
.r w-}#m~{ r/b&z(KF-`
5.完全变态免杀方案五:
%~,x"O#rx
u3B/N
O}b&v ?CMXz 内存特征码修改 + 加花指令 + 入口点加1 + 加压缩壳UPX + 打乱壳的头文件M7^'v X"~&B[ bV

6YBRt2g;n(P 还有其它免杀方案可根据第五部分任意组合.[/size]

查看完整版本: 木马免杀浓缩精华版教程