木马最基本的免杀技术
木马最基本的免杀技术 什么是免杀呢?简单的说吧。就是如果你做了个木马,然后传到网上,=着肉鸡上线。但是有个人进了那个有木马的网站后,杀毒软件报警了。这样你就失去了个良鸡了!那么我们怎么减少失去良鸡的概率呢?呵呵,大家都晓得了。对!没错,那就是木马免杀!免杀的意思宏观的讲呢就是一个木马本来可以被杀的!但是经过你的免杀处理之后呢?就查不出来是木马了!了解了吧!这个就是免杀!那么我们再接着讲免杀的原理!原理很简单。每一套杀毒软件都有一个针对某种木马内容中的一段代码做为特征码。那么我们只要把这段代码中填入数据(比如0)。修改后在能够正常运行的情况下对此软件进行查杀,如果没有查出病毒,那么我们就可以宣告免杀成功!吸收这段话的精华后我们就了解下免杀方法的概念吧! 本文出自 51CTO.COM技术博客免杀方法的概念,这个也比较好解释!呵呵,我才想出来的超级容易懂的解释方法!原创哦:我们可以把一个木马比做一个人,他的名字叫“伍梁”。他抢劫了中国建设银行,现在全国警察都在抓他。(就好比一个木马被杀毒软件抓一样)那么警察也不能乱抓人啊?要认清伍梁总要有他的长相?特征吧!警察呢就把伍梁的头发是爆炸型作为特征四处张贴海报抓他。那么伍梁这边怎么必过逮捕呢?前面我们通过某种途径知道了警察是以“伍梁的头发是爆炸型的”做为特征抓伍梁的。呵呵,这个时候大家应该已经想到了吧!?对!没错。我们只要给伍梁换个发型或者干脆跟他剔个光头就可以了,这样伍梁五官四肢还健全,可以走路。而且警察叔叔也抓不到他了。呵呵。就这个意思!大家反过来在木马的方面想想,我们改了木马的特征码。但是木马又可以正常运行(可以走路)又没有丢失功能。这就是免杀的最完美的效果了!大家明白了吧!没明白就可以问我咯。好了,我们讲讲什么是特征码吧! 我前面讲了大家特征码不晓得大家明白了没有。我就直接说含义好了:能识别一个程序是一个病毒的一段不大于64字节的特征串。(就跟伍梁的头发一样)我再来讲讲特征码定位的原理吧。特征码定位的原理:文件中的特征码被我们填入的数据(比如0)替换了,那杀毒软 件就不会报警,以此确定特征码的位置。我们再拿伍梁打比方吧:如果我们还不知道伍梁的特征在哪里?那么我们用这个方法,首先我们把伍梁的手指甲剪掉,把他放在警察叔叔面前,然后警察马上就把他枪毙了。这就说明我们改错地方了,特征还在他身上!那么我们继续把半死的伍梁的鼻毛剪掉,然后再放到警察叔叔点面前,马上,警察又枪击了他。意思一样,我们还没找到特征。最后我们把恹恹一吸的伍梁的头发剔光。再放到警察面前,这次好了,警察没有认出他来,那么我们就可以确定警察叔叔(杀毒软件)对伍梁(木马)的特征在头发(特征码)上了!就这么简单!呵呵! 好了~前面罗嗦了这么多~现在进入正题咯哟~我们常说的木马免殺技术可以分为很多类别~但是这些类别都有一个共同点,那就是都是要避过杀毒软件的最杀(这个好像是废话).但是各有不同的方法~就这几种最多~是: 1.病毒特征码查找+修改法(即: 文件特征码的定位) 2.病毒内存特征码查找+修改法(即:内存特征码的定位) 3. 文件的加壳(最直接也是最方便的方法) 4.文件的入口点加1法(也很方便) 5.文件的加花指令法(这个前提是软件没有加壳.也很好,普遍性强!) 6.释放出的DLL文件的修改法 就这几种吧,其实我也不确定.好了~我就把这些技术一一讲解吧~ 第一各是文件的特征码查找+修改法~这个的有点很多~但是也有缺点,那么我现说有点吧.恩.这个的优点比较直接,那就是针对性非常强,意思就是说如果你对一木马进行了这种免殺,那么可以长达10天内某种杀毒软件查不出来,呵呵,强悍吧~但是针对性太强了,意思就是你一次只能针对一种杀毒软件.而且过程很漫长~大概要20分钟左右吧~你要很有耐心~这个大概就是缺点吧~我这里说下大概的步骤~下次写文章的时候详细说~”用CLL特征码定位器的手动定位出大概的特征码范围,然后在用自动定位定位出精确的病毒特征码,然后在把特征码部位全部填充为0.~就是这样~别看过程简单~作起来很麻烦的~” 第二个是病毒内存特征码查找+修改法,这个根上面的一样~只是查杀对象不同~ 第三个是文件的加壳,这个我想大家都会吧~我只把要注意的事项简明一下好了:首先要有个好的壳~还有就是木马必须没加壳~如果加了壳就脱壳~) 第四个是文件的入口点加1法,这个方法的原理我不怎么了解,但是我可以说出大概的过程:利用修改入口点工具查看入口点~然后把地址加1就可以了~比如一个程序的入口点是081E32 那么我们只要修改成 081E33 就可以了~这就是入口点加1,简单吧~我记得一个朋友写过一个教程叫什么 5秒钟打造免殺鸽子 吧~我看了~就是用 这个方法~ 第五个是文件的加花指令法,我先介绍下~什么花指令吧;花指令,就是一些程序的跳转指令,他的存在可以避过杀毒软件的追杀~而软件自身也不会被破坏~这个就是花指令的好处.再来讲讲怎么添加花指令吧:首先用OD载入一个无壳的软件~找到0区域(意思就是全部是0的地方,也就是没有符号和代码的地方,一般是4个0),然后加入花指令就OK了~全部完成时间大概就是3分钟~相当的快~而且普遍性强!非常强~我记得上次玩免殺鸽子的时候~搞了1个多月~金山都没杀出来..强悍吧! 第六个是释放出的DLL文件的修改法,怎么说呢?这个其实算是跟病毒特征码查找+修改法一样的~只是这个麻烦些~就哪鸽子打个比方吧~鸽子服务端再运行后会生成3个文件,这3个文件的后缀都是DLL的~这个就是DLL文件.知道了吧~他的修改其实就是免殺~跟第一个一样的~ |
lp0908
博客统计信息
热门文章
最新评论
友情链接