概況
免殺意為免除被防毒軟體殺掉的軟體。
灰鴿子免殺簡介:本工具為純綠色工具,軟體採用獨特的查殺技巧可完全查殺灰鴿子全系列(VIP2005、vip2006、免殺處理)木馬,本軟體已經過嚴格測試,備用本工具可以讓您免受灰鴿子木馬的困饒.更新內容:軟體增加線上更新功能,增加對VIP2006系列及免殺處理的鴿子的查殺。
原理解析
灰鴿子免殺原理免殺技術全揭密一.關於免殺的來源
為了讓我們的木馬在各種防毒軟體的威脅下活的更久.
二.什麼叫免殺和查殺
可分為二類:
1.檔案免殺和查殺:不運行程式用防毒軟體進行對該程式的掃描,所得結果。
2.記憶體的免殺和查殺:判斷的方法:
1.運行後,用防毒軟體的記憶體查殺功能.
2.用OD載入,用防毒軟體的記憶體查殺功能.
三.什麼叫特徵碼
1.含意:能識別一個程式是一個病毒的一段不大於64位元組的特徵串.
2.為了減少誤報率,一般防毒軟體會提取多段特徵串,這時,我們往往改一處就可達到
免殺效果,當然有些防毒軟體要同時改幾處才能免殺.(這些方法以後詳細介紹)
3.下面用一個示意圖來具體來了解一下特徵碼的具體概念
四.特徵碼的定位與原理
1.特徵碼的查找方法:檔案中的特徵碼被我們填入的數據(比如0)替換了,那防毒軟
件就不會報警,以此確定特徵碼的位置
2.特徵碼定位器的工作原理:原檔案中部分位元組替換為0,然後生成新文件,再根據殺
毒軟體來檢測這些檔案的結果判斷特徵碼的位置
五.認識特徵碼定位與修改的工具
1.CCL(特徵碼定位器)
2.OOydbg (特徵碼的修改)
3.OC用於計算從檔案地址到記憶體地址的小工具.
4.UltaEdit-32(十六進制編輯器,用於特徵碼的手工準確定位或修改)
六.特徵碼修改方法
特徵碼修改包括檔案特徵碼修改和記憶體特徵碼修改,因為這二種特徵碼的修改方法
是通用的。所以就對目前流行的特徵碼修改方法作個總節。
方法一:直接修改特徵碼的十六進制法
1.修改方法:把特徵碼所對應的十六進制改成數字差1或差不多的十六進制.
2.適用範圍:一定要精確定位特徵碼所對應的十六進制,修改後一定要測試一下能
否正常使用.
方法二:修改字元串大小寫法
1.修改方法:把特徵碼所對應的內容是字元串的,只要把大小字互換一下就可以了.
2.適用範圍:特徵碼所對應的內容必需是字元串,否則不能成功.
方法三:等價替換法
1.修改方法:把特徵碼所對應的彙編指令命令中替換成功能類擬的指令.
2.適用範圍:特徵碼中必需有可以替換的彙編指令.比如JN,JNE 換成JMP等.
如果和我一樣對彙編不懂的可以去查查8080彙編手冊.
方法四:指令順序調換法
1.修改方法:把具有特徵碼的代碼順序互換一下.
2.適用範圍:具有一定的局限性,代碼互換後要不能影響程式的正常執行
方法五:通用跳轉法
1.修改方法:把特徵碼移到零區域(指代碼的空隙處),然後一個JMP又跳回來執行.
2.適用範圍:沒有什麼條件,是通用的改法,強烈建議大家要掌握這種改法.
七.木馬免殺的綜合修改方法
檔案免殺方法:
1.加冷門殼
2.加花指令
3.改程式入口點
4.改木馬檔案特徵碼的5種常用方法
5.還有其它的幾種免殺修改技巧
記憶體免殺方法:
修改記憶體特徵碼:
方法1>直接修改特徵碼的十六進制法
方法2>修改字元串大小寫法
方法3>等價替換法
方法4>指令順序調換法
方法5>通用跳轉法
木馬的免殺
[學用CLL定位檔案和記憶體特怔碼]
1.首先我們來看下什麼叫檔案特徵碼.
一般我們可以這樣認為,一個木馬程式在不運行的情況下,用防毒軟體查殺,若報警為病毒,說明存在該查毒軟體的檔案特徵碼的。
2.特徵碼的二種定位方法.
手動定位和自動定位
3.檔案特徵碼的定位技巧.
通常用手動確定大範圍,用自動精確定位小範圍.
下面分別用瑞星和卡巴為例,實例演示並結合手動定位和自動定位二種方法來準確定位檔案特徵碼。要定位的對像以下載者為例。
用卡巴來定位檔案特徵碼
⑴.手動定位:
1.打開CLL
2.選擇設定中的 總體參數 ,,,,,選中檔案特徵碼手動定位,,,,以及路徑
3選中設定中的 手動參數,,,,,選擇替換方式 選中,,,總共生成規定個數的檔案,,,生成個數為1000
4選擇檔案中的 特徵碼檢測,,檔案特徵碼檢測,,,打開程式(要定位特證碼的程式)
5在彈出的PE視窗中 直接點確定 ,之後彈出的視窗在點確定
6然後等CLL生成完畢之後用防毒軟體進行查殺
7在CLL中選 操作,結果定位,選中剛剛用來存放檢測結果的資料夾
8在CLL中選
檔案免殺之加花指令法
一.花指令相關知識:
其實是一段垃圾代碼,和一些亂跳轉,但並不影響程式的正常運行。加了花指令後,使一些防毒軟體無法正確識別木馬程式,從而達到免殺的效果。
二.加花指令使木馬免殺製作過程詳解:
第一步:配置一個不加殼的木馬程式。
第二步:用OD載入這個木馬程式,同時記下入口點的記憶體地址。
第三步:向下拉滾動條,找到零區域(也就是可以插入代碼的都是0的空白地方)。並記下零區域的起始記憶體地址。
第四步:從這個零區域的起始地址開始一句一句的寫入我們準備好的花指令代碼。
第五步:花指令寫完後,在花指令的結束位置加一句:JMP 剛才OD載入時的入口點記憶體地址。
第六步:保存修改結果後,最後用PEditor這款工具打開這個改過後的木馬程式。在入口點處把原來的入口地址改成剛才記下的零區域的起始記憶體地址,並按套用更改。使更改生效。
三.加花指令免殺技術總節:
1.優點:通用性非常不錯,一般一個木馬程式加入花指令後,就可以躲大部分的防毒軟體,不像改特徵碼,只能躲過某一種防毒軟體。
2.缺點:這種方法還是不能過具有記憶體查殺的防毒軟體,比如瑞星記憶體查殺等。
3.以後將加花指令與改入口點,加殼,改特徵碼這幾種方法結合起來混合使用效果將非常不錯。
四.加花指令免殺要點:
由於黑客網站公布的花指令過不了一段時間就會被殺軟辨認出來,所以需要你自己去蒐集一些不常用的花指令,另外目前還有幾款軟體可以自動幫你加花,方便一些不熟悉的朋友,例如花指令添加器等。
五.常見花指令代碼
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
1。 VC++ 5.0
PUSH EBP
MOV EBP,ESP
PUSH -1
push 515448
PUSH 6021A8
MOV EAX,DWORD PTR FS:[0]
PUSH EAX
MOV DWORD PTR FS:[0],ESP
ADD ESP,-6C
PUSH EBX
PUSH ESI
PUSH EDI
jmp 跳轉到程式原來的入口點
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2。c ++
push ebp
mov ebp,esp
push -1
push 111111
push 222222
mov eax,fs:[0]
push eax
mov fs:[0],esp
pop eax
mov fs:[0],eax
pop eax
pop eax
pop eax
pop eax
mov ebp,eax
jmp 跳轉到程式原來的入口點
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
3。跳轉
somewhere:
nop /"胡亂"跳轉的開始...
jmp 下一個jmp的地址 /在附近隨意跳
jmp ... /...
jmp 原入口的地址 /跳到原始OEP
--------------------------------------------------
新入口: push ebp
mov ebp,esp
inc ecx
push edx
nop
pop edx
dec ecx
pop ebp
inc ecx
loop somewhere /跳轉到上面那段代碼地址去!
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
4。Microsoft Visual C++ 6.0
push ebp
mov ebp,esp
PUSH -1
PUSH 0
PUSH 0
MOV EAX,DWORD PTR FS:[0]
PUSH EAX
MOV DWORD PTR FS:[0],ESP
SUB ESP,68
PUSH EBX
PUSH ESI
PUSH EDI
POP EAX
POP EAX
POP EAX
ADD ESP,68
POP EAX
MOV DWORD PTR FS:[0],EAX
POP EAX
POP EAX
POP EAX
POP EAX
MOV EBP,EAX
JMP 原入口
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
5。
在mov ebp,eax
後面加上
PUSH EAX
POP EAX
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
6.
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
mov eax,403D7D
push eax
retn
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
push ebp
mov ebp,esp
push -1
push 00411222
push 00411544
mov eax,dword ptr fs:[0]
push eax
mov dword ptr fs:[0],esp
add esp,-6C
push ebx
push esi
push edi
add byte ptr ds:[eax],al
jo 入口
jno 入口
call 下一地址
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
7.
push ebp
nop
nop
mov ebp,esp
inc ecx
nop
push edx
nop
nop
pop edx
nop
pop ebp
inc ecx
loop 任意地址
nop
nop
———————————————
nop
nop
jmp 下一個jmp的地址 /在附近隨意跳
nop
jmp 下一個jmp的地址 /在附近隨意跳
nop
jmp 下一個jmp的地址 /在附近隨意跳
jmp 入口
檔案免殺之加殼與改入口點法
一.殼的相關知識:
1.殼的分類:壓縮殼和加密殼
2.殼的作用:保護和檔案免殺
二.加殼免殺的幾個弱點
1.不能躲過像瑞星這類具有記憶體查殺功能的防毒軟體。
2.一般不能躲過卡巴的查殺
因為卡巴採用了一種叫虛擬機技術。首先把加了多層殼的木馬程式在虛擬機環境下運行一下,這樣木馬程式就會現出本來面目,這樣無論你加了多少層殼,在運行後程式還是要暴露自已的。所以大家在加殼測試過程中也會發現,能過其它的多種防毒軟體,但卡巴始終很難過,其原因就是卡巴的虛擬技術在作怪。
三.是不是現在的加殼免殺已失去意義
每種免殺技術都有他的缺點和優點,比如加殼,首先要找到比較生僻的殼,而且可能以後很快被查殺.同時也不能過記憶體查殺,也很難過卡巴.但它操作方便, 通用性好加一個殼,可能過好幾個防毒軟體.又比如修改特徵碼.首先操作比較煩,要定位,要修改,改好後還要測試是否能正常使用.同時針對性非常強.只能針對某一種防毒軟體的免殺,各種防毒軟體的特徵碼都不一樣,所以要躲過多種防毒軟體查殺,就要分別定位,修改每種防毒軟體的特徵碼.這樣是相當麻煩的.但它可以通過修改特徵碼來躲過瑞星記憶體和卡巴的查殺.
所以以後免殺技術會把加殼,加花指令,改入口點,改特徵碼這幾種方法結合起來使用.對付瑞星的記憶體查殺,我們可以修改記憶體特徵碼,對付卡巴的虛擬機技術.我們可以修改卡巴的特徵碼.在加上加冷門殼,加花指令,改入口點.綜合這些方法就可以打造金鋼不死之身!
四.加殼免殺實例演示部分:
1.加生僻殼免殺:實例演示
2.加偽裝殼免殺:實例演示
3.多重加殼免殺:(用木馬彩衣進行多重加殼)
五.改入口點免殺法:
1.改入口點免殺原理:防毒軟體一般都檢測病毒還原之後的代碼,而且一般都把代碼段開始的前40個位元組作為特徵值.入口點改變了,說明也就破壞了特徵碼,這樣就達到免殺的效果.
2.改入口點免殺方法一:入口地址加1法.
操作步驟:
第一步:配置一個無殼的木馬服務端.
第二步:用PEditor打開木馬程式服務端.在入口點處的地址加1.然後點套用更改就可以了.
評論:該方法對不同木馬程式,有不同的效果,其它防毒軟體一般都可以躲過,但有些程式改過後還是被卡巴查殺.同時也不能過記憶體查殺,但以後結合加花指令,加殼等等方法,效果將非常不錯的。
3.改入口點免殺方法二:變換入口地址法.
操作步驟:
第一步:用OD載入無殼木馬程式服務端.
第二步:把入口點的開始二句代碼(大都為push ebp mov ebp,esp).移到零區域也是就空白區域地方.並記下零區域的記憶體地址.同時在後面加一句跳轉命令:JMP 到第三條指令的地址.
第三步:然後修正並保存,最後用PEditor打開該程式.把入口點改成剛才在零區域記下的記憶體地址.
評論:該方法效果比方法一要好.經測試,用方法一改過後被卡巴查出來,用方法二就查不出來. 以後可以結合加花指令,加殼,改特徵碼,打造金鋼不死之身!
採用以上的方法可以躲過不少防毒軟體的追殺,並且方便快速,又很簡單,所以是免殺里非常主要的手段,但是一定要檢查檔案是不是能夠正常運行。
免殺新技術
[虛擬機加密免殺]和[殼中改籽]
虛擬機加密免殺最新免殺技術——虛擬機加密代碼套用並非傳統的修改特徵碼,也不是修改入口點+花指令,更不是
加殼壓縮!是最新的一種免殺技術!借於這種技術你可以千變萬化,是免殺對新手來說更為簡單!
大家對虛擬機VMProtect是否有所了解,這個是最新的加密工具!可以加密PE檔案中任何一句或一段代碼
自然可以給我們用來免殺了!
免殺工具:vmprotect1.07或1.06 PEID UPX
免殺步驟:原理說明:加密區段代碼使防毒軟體無法識別!你可以找特徵碼,找到後加密特徵碼的代碼!
用PEID查看入口點:假如這裡的入口點是0007DB74 基址是 00400000
3.用虛擬機vmprotect打開要免殺的檔案,添加地址0047DB74=00400000+0007DB74 基址+入口點
4.選代碼區域->轉存->F9保存
5.測試運行->可以成功運行
6.用UPX壓縮一下,縮小體積,OK 免殺成功
總結:虛擬機加密代碼是比較新的免殺技術,可以和其他免殺技術有機的集合在一起,讓你的木馬變成金剛不壞.大家要多多掌握。
這種免殺很少有人用,所以免殺效果非常好,各大黑客網站也很少見到介紹,這裡我把別人做黑洞免殺的文章發到這裡,供大家研究.估計是浩天寫的文章
先講一下為什麼這種技術叫“殼中改籽”。配置一個黑洞的服務端,然後用PEiD.exe來查看它是用什麼加的殼,查到是UPX加的變態殼,程式的區段都給隱藏了,那么先得給黑洞服務端脫殼。用 upxfix.exe打開它,然後在Decompress method裡面選擇5,點擊fix,這樣就修復了。再用PEiD.exe查一下,看現在可以看到區段了吧。
為什麼我一再提到這個區段呢?其實它就是文章的重點,也就是殼裡面的籽。繼續脫殼,用UPXShell打開修復好的黑洞服務端,點擊解壓縮,完成後我們可以看到程式由原來的201 kb變成了506 KB ,大了一倍多。
有人可能要問為什麼一定要給它脫殼呢?直接修改不可以嗎?其實主要是因為黑洞的服務端里還有一個用做鍵盤記錄的dll檔案,它也要做免殺處理。用 Resscope1.92打開黑洞的服務端,這個可是絕好的exe資源編輯器啊,先選擇dllfile裡面的getkey,然後點擊檔案→導出資源,這樣 dll檔案就導出來了。它也是用upx加的變態殼,因為區段被加密了,所以我們也要給它脫殼,再加殼。脫殼的過程和先前脫黑洞服務端一樣先用 upxfix.exe打開它,但是這裡注意在Decompress method裡面,不要選擇5,而是選擇2修復,不然的話就脫不了殼了。
接著用UPXShell解壓縮,現在dll檔案的大小由原來的11 kb變成了18.5 kb,然後再用UPXShell重新給它加上殼。
把UPX加過殼的dll檔案,用PEiD.exe打開查看,這裡有幾個數據需要我們記錄,等下和修改後的檔案做比較用。
先分別把程式入口點:000C220、檔案偏移量:00002620 ,記錄下來,然後點擊查看EP區段,在區段查看上面再點右鍵選擇cave查找器,把upx殼區段upx1的RVA:0000C3B5、 偏移:000027B5等參數也記錄下來。
關鍵的時刻到了,reloc.exe閃亮登場。因為reloc 是一款命令下的工具,所以為了操作方便,我建議大家寫一個bat檔案和reloc放在同一目錄。我們開始記錄的數據現在派上用場了,編輯bat檔案格式如下:
reloc 待修改程式 $程式入口 $檔案偏移量 $殼的區段入口 $區段偏移 參數
那么對應我們的黑洞鍵盤記錄dll檔案所記錄的數據,這個bat就應該這樣寫:
reloc 鍵盤記錄.dll $C220 $2620 $C3B5 $27B5 5
數據前面的零不要寫到bat裡面,另外最後面的這個參數大家注意,其實它是設定修改時的偏移量的,一般dll檔案選擇5,exe檔案選擇5-9之間的數,一般選擇6就好了。
設定完了,我們運行這個bat檔案,開始修改。完畢之後我分別用國內和國外最強的防毒軟體江民、諾盾和卡巴斯基對鍵盤記錄.dll進行掃描,它們均未發現病毒,我們的木馬成功躲了過去。用PEiD.exe重新打開,可以發現PEiD已經無法分別鍵盤記錄.dll是什麼殼了,把原來記錄的幾個數據和現在對比一下發現程式入口和檔案偏移量沒有,而殼區段入口和區段偏移卻改變。
飄舞的風在上一期的文章裡面說道:“peidv0.92是通過每個程式的開頭幾十個位元組來比較是那種殼。”,看來不僅僅如此,peidv0.92還把殼的區段入口開頭的幾十個位元組也作為了用來判斷殼的類型的特徵代碼,防毒軟體也是如此,這樣簡單修改一下我們的木馬就免殺了。
著把這個已經修改好的dll檔案,導回到黑洞的服務端,方法和導出dll是一樣的,我就不再講述了,然後把它用UPXShell再次加殼,加殼後的大小為200 kb。
現在可以開始我們的第二次免殺之旅了,同樣用PEiD.exe把程式入口、檔案偏移量、殼的區段入口、區段偏移,等數據記錄下來,寫入bat檔案。
我的bat是這樣寫的:
reloc 1.exe $88620 $30A20 $887A3 $30BA3 6
我前面已經講過了,修改exe檔案的時候,參數選擇5-9之間的數,一般選擇6就好了。現在運行bat檔案,黑洞服務端的免殺就全部完成了。用 PEiD.exe查看,顯示的是“Nothing found”看來PEiD已經不認識它了,再用江民、諾盾和卡巴斯基查殺,均顯示無病毒,呵呵,欺騙成功。
四、結語
經過這么簡單的修改以後效果是非常好的,相信以後這樣的免殺技術將會成為主流技術,因為它簡單實用。
分析它實現免殺的原理,不難看出換一個角度思考問題的重要性,從殼的修改轉到殼中籽的修改,不能不說這是一種創新,
它使木馬的免殺之路變寬了。最後謝謝 “朋友的家”提供一款這樣優秀的工具。如果大家能夠把這種技術和我前面提到的另外三種結合起來使用,相信它將是無懈可擊的
不知道是那位牛人想出來把這方法用到木馬免殺上,這個方法讓很多不會用偏移定位特怔碼的朋友也能夠很容易掌握到特怔碼的位置,實在是很高明又很簡單的免殺好方法.這裡我就根據他的方法詳細介紹OD一半定位法
所謂OD一半定位法很簡單,就是用OD載入需要做免殺處理的檔案,用NOP填充一半的代碼然後保存,接著用防毒軟體查毒,如果有毒就在把另外一半用 NOP填充,如果沒報毒就證明特怔碼就在剛剛填充的那一半,然後又對那一半進行1/2的NOP填充,這樣不斷縮小範圍,很容易就找到需要修改的代碼部分。如果是做記憶體免殺就把NOP填充好的檔案用OD打開進行記憶體防毒。怎么樣?是不是很容易掌握的方法?
不過需要注意的是新手用這個方法最好每做一步都把NOP填充的開頭和結局部分的地址用紀事本保存,免得一旦忘記又從頭來.
如果特怔碼不止一處,你就要大致定位到有特怔碼這一大段,然後把這一段的一半用NOP填充並且保存,接著打開保存的檔案對另外一半繼續剛剛開始的步驟,這樣很快就能夠定位出幾處特證碼所在的位置.
還是那句話,熟練就好,另外需要注意填充後查出的病毒名字有沒有改變,如果改變就證明你填充的那段存在特怔碼,這樣可以省掉不少時間。
檔案免殺之檔案特徵碼修改五大法寶
方法一:修改字元串大小寫法
1.修改方法:把特徵碼所對應的內容是字元串的,只要把大小字互換一下就可以了.
2.適用範圍:特徵碼所對應的內容必需是字元串,否則不能成功.
方法二:直接修改特徵碼的十六進制法
1.修改方法:把特徵碼所對應的十六進制改成數字差1或差不多的十六進制.
2.適用範圍:一定要精確定位特徵碼所對應的十六進制,修改後一定要測試一下能否正常使用.
方法三:指令順序調換法
1.修改方法:把具有特徵碼的代碼順序互換一下.
2.適用範圍:具有一定的局限性,代碼互換後要不能影響程式的正常執行。
方法四:通用跳轉法
1.修改方法:把特徵碼移到零區域(指代碼的空隙處),然後一個JMP又跳回來執行.
2.適用範圍:沒有什麼條件,是通用的改法,強烈建議大家要掌握這種改法.
方法五:等價替換法
1.修改方法:把特徵碼所對應的彙編指令命令中替換成功能類似的指令.
2.適用範圍:特徵碼中必需有可以替換的彙編指令.替換後指令功能要不變比如JN,JNE 換成JMP,這裡要對彙編要比較熟悉,讀懂指令後可以替換功能相同的指令。也可以去查8080彙編手冊[計算機專欄里有]
實戰特怔碼免殺
第一步:首先用記憶體定位法來準確定位瑞星記憶體特徵碼的具體位置
第一階段:自動參數中,生成檔案間隔秒數設為4,最小替換位元組數設為100位元組。(主要用於大體定位記憶體特徵碼)
第二階段:自動參數中,生成檔案間隔秒數設為4.最小替換位元組數設為4位元組。(主要用於準確定位記憶體特徵碼)
第二步:修改特徵碼
用OD打開檔案,找到特怔碼所在位置,並且判斷適合用那種方法修改,如果對方法不太熟悉,並且特怔碼不止一處,那就需要你改一處就保存並且在虛擬機里試驗能否正常運行[虛擬機可是做免殺的必備工具,強烈建議你安裝,因為你不可能就在自己的機器上運行木馬吧?在說也不可能在你機器上同時安裝N種殺軟,那你機器不慢死,更重要還可以用來試驗別人提供的軟體有沒有木馬]
木馬免殺技術之獨門絕技
絕技一:快速搞定瑞星檔案查殺
操作步驟:
第一步:用OD載入,來到程式的入口點。
第二步:把入口點的第一句PUSH EBP 改成POP EBP 然後保存就可以躲過瑞星的表面查殺。
絕技二:快速定位與修改瑞星記憶體特徵碼
原理:因為目前的記憶體查殺防毒軟體,只有瑞星才能威脅到我們的木馬。也就是說只要搞定瑞星的記憶體查殺,那我們的木馬在記憶體就暢通無阻了. 但由於技術原因,目前瑞星的記憶體特徵碼在90%以上把字元串作為病毒特徵碼,
這樣對我們的定位和修改帶來了方便.
操作步驟:
第一步:首先用特徵碼定位器大致定位出瑞星記憶體特徵碼位置.
第二步:然後用UE打開,找到這個大致位置,看看,哪些方面對應的是字元串,用0替換後再用記憶體查殺進行查殺.直到找到記憶體特徵碼後,只要把字元串的大小寫互換就能達到記憶體免殺效果.
絕技三:如何快速躲過諾頓的查殺
諾頓的查殺特點:大家有時候會發現,通過改特徵碼,加花指令,改記憶體特徵碼,等等,卡巴,江民,金山,瑞星都過了,但無論如何都過不了諾頓,這時候是不是感到很納悶.其實諾頓特徵碼的定義和其它防毒軟體不一樣,其它防毒軟體的特徵碼都在代碼段而只有它把特徵碼定義在PE頭檔案裡面.而在頭檔案裡面,一般都用字元串作為病
毒特徵碼,知道了原理,就有下面的二種方法來應付.
方法一:只要把頭檔案的字元串的大小字互換一下就可以搞定了.
方法二:有二款壓縮軟體WinUpack和北斗星,經過他們的壓縮,會把我們的木馬程式的頭檔案改的面目全非.所以把我們的木馬做好其它的防毒軟體的免殺後,再用這二款壓縮軟體的壓縮就可以躲過諾頓的查殺.
絕技四:一個不太通用的免殺方法
免殺方法一:把入口點第三句開始的幾行(20位元組內)彙編代碼移到零區域去執行,也達到一定的免殺效果.
絕技五:用VC++加了花指令後入口點下移法
操作過程:加花指令後,可以把入口點下移好一位,這樣可以進一步達到免殺效果.
免殺方案
一.木馬免殺綜合方案
修改記憶體特徵碼--->1>入口點加1免殺法 1>加壓縮殼1>--->再加殼或多重加殼
2>變化入口地址免殺法 2>加生僻殼--->2>加殼的偽裝.
3>加花指令法免殺法 3>加壓縮殼3>--->打亂殼的頭檔案
4>修改檔案特徵碼免殺法
以上免殺方法可以自由組合成多種不同的免殺方案。
二.常用免殺方案
1.實例完全免殺方案一:
記憶體特徵碼修改+加UPX殼+秘密行動打亂殼的頭檔案。
所需工具:UPX加殼工具,秘密行動
2.完全免殺方案二:
記憶體特徵碼修改+加花指令+加壓縮殼
3.完全免殺方案三:
記憶體特徵碼修改+加壓縮殼+加殼的偽裝或多重加殼
4.完全免殺方案四:
記憶體特徵碼修改+去頭變換入口點地址+壓縮殼
5.完全免殺方案五:
記憶體特徵碼修改+修改各種防毒軟體特徵碼+壓縮殼
6.完全變態免殺方案六:
記憶體特徵碼修改+加花指令+去頭變換入口點+加UPX殼+用秘密行動打亂殼的頭檔案(Ps:最牛的勒。。)
三.解決加花指令後運行出錯問題
1.分析其原因:我們加花指令時,一般都找代碼段最後面的空白代碼地方也就是所謂的零區域,然後把我們準備好的花指令填進去,然後一個跳轉跳到入口點。但是我們木馬的體積比較大,從入口點到最後面零區域的間隔比較遠,所以從低部跳到頭部由於間隔較遠就非常容易出錯。
3.新研究的免殺方法完美的解決了該問題:我把它取名為:中間過渡跳轉法
實例演示:中間過渡跳轉法來修改灰鴿子V1.22版或VIP2.0版。
中間過渡中轉法實現原理:首先我們在代碼段的中間位置,備份部分代碼,然後把我們要添加的花指令寫進去,寫完後,再跳到零區域,在這個零區域填入剛才我們備份好的代碼.填完後又要跳回填入花指令的生面.總之一句話:把花指令填在代碼中間,被花指令覆蓋的代碼移到零區域去執行,然後又要跳回來.最後把入口點改成花指令的首地址.這樣就算完事了.
4.該新的免殺技術優點:以前的花指令只能填到零區域,也就是說入口點一般都比較後面,所以有時會被卡巴查殺,但有了這種新方法後,程式入口點就變的非常靈活,可以定位在代碼段的任何位置,每定位一個新的入口點就是一種新的免殺方案.而且這種方法對付卡巴也很有效.把入口點放到代碼段的中間,是防毒軟體萬萬想不到的,所以免殺效果是最好的.同時他解決了由於跳轉太遠使程式無運行的缺點,所以這種方法是相當完美的免殺方法.希望大家靈活運用