“黑客”深度进修之“免杀技能道理与实现”
|
假如特性码是数据,那么修改数据位置,会见数据的代码位置等(头脑类比非源码方法)。
(2) 器材免杀(盲免杀) 在没找到有用的特性码,可能欠好修改的时辰,可以试试这种方法。 资源操纵:
几种方法可以瓜代一再多次举办组合行使。 PE操纵:
加壳: 可以将加壳简朴领略为:解密器/解压器+加密器/压缩器(原始代码)。 通过加密器/压缩器将原始代码举办加密压缩,让其特性码变革潜匿,然后组装上解密器/解压器到文件中,运行是先运行解密/解压器,将加密压缩内容解密解压,然后继承运行原始代码。 a.加冷门壳 壳也有特性,知名壳都已经被说明的很是多了,杀软根基都能查这类壳,可能自动脱壳,然后举办查杀。 以是加冷门壳,壳特性未被说明,不能自动脱壳,可以更好潜匿原始代码,获得免杀结果。 b. 加壳改壳 将常用壳举办修改,让壳特性变革,也可所以杀软失效。 好比修改进口,区段信息修改,进口代码移位。 可以类比为免杀壳,上面先容的要领都可以行使。 (二) 其次,举动动态免杀 杀毒软件此刻城市有主防的成果,对恶意举动举办拦截提醒。 好比这些举动: 注册表操纵,添加启动项,添加处事,文件写入、读体系文件、删除文件,移动文件 杀历程,建设历程,注入、挟制等 1. 举动拦截道理 说白了,恶意举动都是通过API挪用来完成的,也许是一个API,也许是多个APi组合。 杀软通过技妙本领拦截这些API挪用,通过计策来判定是否属于恶意举动。 要害点:
所往后头的要领就是针对这两点做的事变。 2. 怎样举办举动免杀呢? 下面先容的方法对非源码、源码都有用,但长短源码修改起来很是很是贫困... (1) 替代api 行使沟通成果的API举办替代,杀软不行能拦截了全部API,以是这种方法照旧有用的。好比MoveFileEx替代MoveFile。 (2) 未导出api 探求沟通成果的未导出API举办替代,杀软拦截一样平常是导出API,可能底层挪用,探求未导出API有必然结果。 探求要领,通过说明方针API内部挪用,找到内部一个或多个未导出API,来完成沟通成果。 (3) 重写api 完全重写体系API成果(通过逆向),实现本身的对应成果API,对付ring3的举动拦截很是有用。好比实现MoveFile等。 (4) api+5 ring3的API拦截通过是挂钩API头几个字节内容,然后进入杀软本身函数举办参数搜查之类的。 那么假如挪用API时,跳过甚部几字节,就可以避开这种拦截方法。 __API:
挪用时,不合用1地点,而行使4地点,然后本身函数内部还原跳过几字节的挪用。 __API_MY:
(5) 底层api 该要领相同于2和3,杀软拦截API也许越发高层(语义更清晰),那就可以找更底层API举办挪用,绕过拦截,好比行使NT函数。 可能通过DeviceIoControl挪用驱动成果来完成API成果。 模仿体系挪用。 (6) 公道替代挪用次序 偶然拦截举动是通过多个API组合来完成的,以是公道替代次序,绕过杀软拦截计策,也可以绕过转业为拦截。 好比,先建设处事,再将处事对应文件拷贝已往。 (7) 绕过挪用源 通过挪用其余举办成果来完成API的成果。较量经典的如,通过rundll32.exe来完成dll加载,通过COM来操纵文件等等。 小结: 要领或许就总结到这,要更好的完成免杀,必要各类方法举办公道机动组合变革,可能发掘更多的要领 四、免杀实例讲授 尝试主机:Vmware 假造机 操纵体系:XP sp3 尝试器具:MyCCL 2.1、C32Asm、一份病毒样本(encode.exe)、百度杀毒、360杀毒 拭魅战开始: 第一步将杀毒软件的及时防护封锁,以免一会自动把我们尝试的样本杀了,然后点击配置: 第二步用杀软查杀一下病毒样本看看: 确定没题目。 (编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
