免杀过程中的一些总结(转载+本人心得)

第一:我们学习免杀的方向:
如果象本人一样,只是为了保护自己的黑软的话!就不会学的那么累(没必要去学汇编编程)有时候简单加下壳或者脱下壳就OK!
如果是要挑战世界的杀毒软件的话,毕竟每个PC用户安装的杀软都不一样!想抓鸡拿服务器的朋友就要进修脱壳破解,高级汇编的内容了,这将决定你免杀技术的高低!

第二:免杀的环境:做免杀,逃不了测试这个木马是不是修改成功!所以为了保护自己的系统,我建议学免杀要先学会使用虚拟机,很多人会说,为什么不用影子?影子系统虽然也是可以保护的,暂用资源又少,但是有些反弹型木马,我们运行后如果失败(即使成功)都需要重启来完成完全清除的工作!做过QQ盗号木马跟黑鹰远控软件免杀的朋友应该深有体会!

第三:杀软的安装设置:个人建议安装卡巴,小红伞,瑞星,金山!(当然配置好的电脑可以再加上江民,麦咖啡)这里我为什么不说安装NOD32呢!本人以前装卡巴,小红伞,瑞星,金山的时候就为了装个NOD32而导致不能上网(后来修复)又发现权限有问题(部分程序竟然没权限运行……)只好在虚拟机里单独安装!所以也建议大家要装NOD32的话,还是在虚拟机里单独安装吧!硬盘大的朋友建议全利用虚拟机安装杀软(方便以后重做系统,节省升级病毒库的时间)杀软的设置,可以说是很简单的!每安装完一个杀软,我们都要先在杀软设置里把监控跟自我保护的选项的钩去掉!然后升级病毒库!升级完后再关闭服务跟启动项(利用360安全卫士)这样安装其他的杀软就不会起冲突了!这里注意下!瑞星升级后会自己更改自己的服务为自动,所以瑞星建议最后装,最后升级,再关闭它的服务!这里我想大家肯定是关心杀软的序列号从哪来的吧!瑞星有体验版,金山有37天试用版,NOD32利用PPLOVE网络电视有180天试用!卡巴等洋货在百度上搜索均有可用的序列号!这个就是考验大家的细心了!呵呵!卡巴不建议装6.0的,虽然我知道6.0的有的序列号可以用到3000年!但是查杀模式跟7.0大有不同!!大家还是装7.0吧!(虽然卡巴的启发比不上NOD32的,但是它的主动可是免杀爱好者的“粉丝”)

第四:杀软的查杀特点:
卡巴:简单来说是靠主动吃饭的!他的病毒库虽然非常大!但是不知道为什么,简单的花指令竟然能破解它……虽然现在升级加了启发扫描~~但是我测试还是一个花就可以过!只要你的花有个性(别去网上找)加个壳改下壳头也可以过!瑞星:国内木马的超级对手可以这么说!对国内的木马定位的特征是洋货的N倍(鸽子见证)主要查杀技术是内存查杀技术,但是对一些生僻的木马,内存病毒库里竟然没有,只要过了表面就可以过内存……主动主杀敏感字符串,本人测试鸽子的时候改了表面跟内存特征,竟然直接过主动……广告卖的倒不错,但是只是针对流行木马!其他不常见木马并没有加大什么强度!
NOD32:启发扫描的头领!主杀输入表函数,针对MYCCL定位器做过调整!定位建议用 multiCCL这个来定位!不过这个大块头对生僻壳的侦壳能力不强!加些生僻壳把一些函数保护起来可以让它无用武之地!对外国木马还行~国内好多木马它都放行!!国内朋友不建议装这个杀软(这类壳主要是加密型,不建议用压缩型)金山:数据流查杀技术的代表!简单来说跟瑞星内存查杀技术有点一样!病毒库升级,查杀病毒速度都是超级快!但是杀毒能力比较上面的几款有点逊色!
360与金山清理专家:行为查杀的代表,金山清理专家比360查杀力度还大!但是监控能力……实在不想说!以上可以说是所有集合杀软的特点:文件查杀,内存查杀,启发查杀,数据流查杀!行为查杀!主动防御!每个杀软都有自己的特点,一个人也不可能把全球杀软都安装起来研究,但是以上4个杀软跟一个辅助可以说全包括了病毒查杀特点!也不能说哪个不好,哪个很好!有些木马这个杀软杀不出来~~那个就可以杀出来!所以对于现在网上有些朋友对个别杀毒软件不重视,就会导致你所谓的“肉鸡”插翅难飞!嘻嘻!
第五:免杀所用工具简介(建议都去甲壳虫下载)
免杀其实用不了很多工具!!但是我看一些朋友的免杀工具包真的好吓人……
1.Ollydbg: 32位的动态编译器,脱壳跟修改特征码必备工具!
2.C32Asm: 集反汇编,16进制,Hiew修改功能一体!但是真正用处只是修改驱动内核级木马Pcshre才用!平时的修改技巧后面再讲!
3.WinHex:16进制编辑工具!主要是内存编辑功能好用
4.TK.loader:定位内存特征的小工具
5.PEID:查壳工具
6.LordPE:PE编辑工具!脱壳,修改程序入口跟函数常用
7.PEditor:修改程序入口跟效验程序的
8.Resttorator:程序资源修改器!做免杀需要修改资源的时候杀用的最多(如鸽子)!
9.ResRcope:同上,有时候需要这个才可以导出,导入,修改资源!本人也不知道WHY?
10.FreeRes:针对资源的释放程序,可重建可编辑资源而实现加多重壳的目的!
11.ZeroAdd:加区段的工具
12.ImportREC:不常用!偶而用来修复输入表!
13.FixRes:跟FreeRes差不多,配合使用效果很好!
14.MYCCL:特征码定位器(1.1版本可以用来当点唱机- -!)
15.multiCCL:DOS界面的定位器,不怎么受欢迎!但是定位方法比MYCCL更好!更科学!
16.OC:偏移地址转换器
17.NOD32特征码转换器:不说也知道是干什么用吧- -!
18.VMUnpacker:超级巡警自动脱壳机!有时候要脱壳就找它!
19.FFI:超级巡警病毒分析工具!我一直当脱壳机用….
20.掘北压缩0.28免杀版:对瑞星有很好的效果,改下头对卡巴有疗效
21.ASProtect:卡巴金山的天敌!
22.免杀了一个月的花(公布出来就代表不免杀)
push 数字
push ebp
add esp,数字
add esp,-数字
pop ebp
push -数字
mov EDI,EDI
mov EDI,EDI
nop
push ebp
mov ebp,esp —-跳回去入口点吧!
以上是本人免杀学习过程中常用的工具!当然还有一些壳我没写!大家都知道!杀软查杀的力度!本人就不公布了!大家自己去找吧!生僻壳的效果绝对比改特征码好!

第六点:木马定位技巧!
网上很多这样的教程!这里我就简单说下!MYCCL那个带后缀意思就是定位表面不需要打上,定位内存就要打上钩!分块个数的原则是,看木马体积的大小!体积大的分块小点,体积小的分块大点!这样重复的次数就很少!还要看自己机子的配置,最大不能超200!估计会出错误吧!一般本人是先10-20-50-100!NOD32一直都是10块10块定完!分块长度就是字节数,一般都是精确到1!不过1–4之间都是可以的!填充,除了NOD32定位要改变成90外,其他的杀软都是00填充!开始位置一般都是CODE段!如果是被杀的比较紧的木马(如鸽子)就默认吧,全区段定位!呵呵!正向,这个是针对NOD32才改变!NOD32定位这里要改成反向!multiCCL定位器!本人很少用!只用来定位NOD32,所以本人不献丑了!

第七:修改特征码之OD应用学习
修改特征码建议先去学下OD的使用方法跟一些简单的汇编语句!8086手册不错!
修改一定要保持一个原则:堆栈平衡
1.顺序调换法如果我们发现一处特征都是同一个语句,如:PUSH 1 PUSH 2 PUSH 3 PUSH 4 而特征码是PUSH 2 我们可以尝试把34跟12的位置调换,其他语句也一样!一般都是MOV语句多!
2.NOP移位法如果我们发现特征码的上一句或者下一句有个0000或者NOP语句,我们可以把特征移动到0000或者NOP上面执行,而原位置直接NOP掉!这方法注意特征定在CALL上的!我们都要跟随所调用的程序去看看!说不定特征所调用的子程序的上句/下句就有NOP指令!也可以这样改,也有免杀效果!
3.通用跳转法超级简单好用的方法!加花的时候经常用!找出0000(PEID搜索O区域)把特征仍过去再跳回来原NOP掉的特征的下一句指令就可以达到效果……
4.等值替换法最难掌握的方法!需要一定的汇编知识!如;JE=JNZ ADD=AUB- 等等这里需要汇编指令速查手册帮助!当然,你修改多了以后就不需要了!改多了就会熟悉了!呵呵 CALL有时候可以尝试改成JMP!没有实现的跳转可以尝试NOP!碰到CALL语句一定要记的跟过去看看!JMP也一样!多看多练习,就会发现别人不知道的方法!第八:修改特征码之C32Asm应用用这个修改特征码,本人一直保持一个原则:非明文,都是乱码,不尝试修改! 1.大小写替换法如果特征定位特征在SVCHOST 这样很清楚的E文上,可以改大小写!如果跟过去是E文,跟旁边的字符一起选择一下就变乱码就不要改了 2.字符加1减1法等效与OD里的等值替换法!建议在OD操作!这方法容易使程序丢失功能!知道就可!如:CALL–E8 JMP–E8 JNZ–75 JE–74 3.输入表函数修改要在OD里找到此处特征的函数所对应的16进制数值位置,进行移位修改!或者直接利用LordPE找到对应的输入表函数进行移位!(这个建议多看教程!不难) 4.00填充法不建议用这方法!!一个指令的存在肯定有它存在的意义!所以这方法少用为妙!小心丢失功能!虽然是很方便…… 5.PE头修改方法只是对PE头进行移位就能达到反调试免杀的目的!这个不知道怎么说!网上有详细教程 C32Asm这个工具对修改驱动内核级木马可是派上大用场!但是大家注意的是修改这类木马一定要记的在虚拟机里进行`~这种高级手术容易让电脑感冒(蓝屏)!呵呵特征码的修改不但累人,也要一定的汇编基础!所以本人都是一般通过加花,改壳等方法来完成免杀操作的!以下是本人总结的一些修改技巧!花指令:绝对不能用网上的!一定要自己写,宁愿花3小时写1段花!也不要用网上已经公布的花,那样跟没用一样!本人一般喜欢先几个跳转,再执行花再跳两下有时候不但对卡巴,对金山也有效果…… 壳:掘北压缩加上ASP加密虽然容易出错,但是只要不出错就可以达到免杀效果!很多人现在可能还在改UPX的壳!!这个壳我看改的也有点费力了吧!大家还是换点生僻的壳来修改吧!加壳后定位的特征码可能不是壳的特征码,而是壳跟程序变种后的特征!本人总结;免杀这门技术!如果你想深究,就去学汇编,学习下系统底层的知识!现在的木马已经都向驱动级发展!不会点汇编能行么?能过主动防御么?如果只是认识一下,或者免杀下自己的黑软!本人认为以上的知识点已经足够下!人要多想象!不能老用人家的方法!多测试,多留心,你会发现杀软的漏洞的!从而轻松躲过查杀!免杀的方法跟技巧还有很多!是需要大家自己去发觉的,现在教程虽然多!但是毕竟是人家总结出来的!老跟人家的思路走怎么会进步?