 |
|
 |
|
| 木马免杀的一点见解 |
| 木马免杀的一点见解 |
| 作者:佚名 文章来源:不详 点击数:
更新时间:2007-4-23 |
|
一流信息监控拦截系统(IMB System)
="http://hack.77169.com/List/List_41.html" target="_blank">木马.可是我在测试的过程中发现如果你有10个网站的webshell,每个网站每天每个站有10个人上~那么一天中共就有100个人进这个网站,可是我们这些菜鳥生成的木马没有经过任何加工~而且现在中国网民的网罗安全意识越来越高!(感到欣慰)10个有8个装上了杀毒软件的.那么意思就是一个新的木马出来后~杀毒软件最多就2天时间就把这个木马的特征码更新到数据库里咯~呵呵~何况我对木马的更新是最不敏感的..我记得我那个时候喜欢盗QQ~就用时下最火的 啊拉 .到时候我发现有个最新的版本,好像是1.7版的~我那个时候还用的是1.6版的~没想到会更新的这么快(其实是我太迟钝了)我一下下来就被可爱的卡巴大叔给枪毙了..郁闷~我想不可能啊?到后来菜知道这个已经更新好几天了..郁闷~我果然迟钝..然后我去看看邮箱~唉~每天最多才7-8个新的QQ来坐客..仔细想想~绝对是木马太烂~总是被杀毒软件杀~怎么办呢?这个时候我师父上线了~我问了下他~然后他对我说:最好是搞一下免殺~即方便,也可以提高技术!我当时就信了他的~我就开始了疯狂的学习免殺技术..…(省略10天的努力过程).10天后的一个清爽的早晨,我宣告我的免殺技术学习的结束.
好了~前面罗嗦了这么多~现在进入正题咯哟~我们常说的木马免殺技术可以分为很多类别~但是这些类别都有一个共同点,那就是都是要避过杀毒软件的最杀(这个好像是废话).但是各有不同的方法~就这几种最多~是:
1.病毒特征码查找+修改法(即: 文件特征码的定位)
2.病毒内存特征码查找+修改法(即:内存特征码的定位)
3. 文件的加壳(最直接也是最方便的方法)
4.文件的入口点加1法(也很方便)
5.文件的加花指令法(这个前提是软件没有加壳.也很好,普遍性强!)
6.释放出的DLL文件的修改法
就这几种吧,其实我也不确定.好了~我就把这些技术一一讲解吧~
第一各是文件的特征码查找+修改法~这个的有点很多~但是也有缺点,那么我现说有点吧.恩.这个的优点比较直接,那就是针对性非常强,意思就是说如果你对一木马进行了这种免殺,那么可以长达10天内某种杀毒软件查不出来,呵呵,强悍吧~但是针对性太强了,意思就是你一次只能针对一种杀毒软件.而且过程很漫长 ~大概要20分钟左右吧~你要很有耐心~这个大概就是缺点吧~我这里说下大概的步骤~下次写文章的时候详细说~”用CLL特征码定位器的手动定位出大概的特征码范围,然后在用自动定位定位出精确的病毒特征码,然后在把特征码部位全部填充为0.~就是这样~别看过程简单~作起来很麻烦的~”
第二个是病毒内存特征码查找+修改法,这个根上面的一样~只是查杀对象不同~
第三个是文件的加壳,这个我想大家都会吧~我只把要注意的事项简明一下好了:首先要有个好的壳~还有就是木马必须没加壳~如果加了壳就脱壳~)
第四个是文件的入口点加1法,这个方法的原理我不怎么了解,但是我可以说出大概的过程:利用修改入口点工具查看入口点~然后把地址加1就可以了~比如一个程序的入口点是081E32 那么我们只要修改成 081E33 就可以了~这就是入口点加1,简单吧~我记得一个朋友写过一个教程叫什么 5秒钟打造免殺鸽子 吧~我看了~就是用 这个方法~
第五个是文件的加花指令法,我先介绍下~什么花指令吧;花指令,就是一些程序的跳转指令,他的存在可以避过杀毒软件的追杀~而软件自身也不会被破坏~这个就是花指令的好处.再来讲讲怎么添加花指令吧:首先用OD载入一个无壳的软件~找到0区域 (意思就是全部是0的地方,也就是没有符号和代码的地方,一般是4个0),然后加入花指令就OK了~全部完成时间大概就是3分钟~相当的快~而且普遍性强!非常强~我记得上次玩免殺鸽子的时候~搞了1个多月~金山都没杀出来..强悍吧!
第六个是释放出的DLL文件的修改法,怎么说呢?这个其实算是跟病毒特征码查找+修改法一样的~只是这个麻烦些~就哪鸽子打个比方吧~鸽子服务端再运行后会生成3个文件,这3个文件的后缀都是DLL的~这个就是 DLL文件.知道了吧~他的修改其实就是免殺~跟第一个一样的~
好了~介绍了这么多了~相信大家也都懂了吧~这个是我第一次写文章~如果哪里又不懂的地方~请提出来~我会虚心的接受的~我的下一篇文章是各种免殺技巧的详细介绍与方法~可以让广大免殺菜鳥走向高手之路!谢谢!
①:作者姓名:white
②:作者联系方法:hackerdzc@163.com 感谢提供
|
|
|
 |
(只显示最新5条。评论内容只代表网友观点,与本站立场无关!) |
|
|
|
|
|
|
|
