木马免杀原理详解

假设选中的13143C58到13143C5C是特征码，当然这段可以用直接修改法修改，这里说下如何跳转
首先NOP掉4行特征码
图7

在下面找到一段0000区记下地址1314CECF
图8

写入NOP掉的特征代码和跳转到特征代码后续语句的代码
图9

最后到NOP掉的原特征码段加入一句代码JMP 1314CECF跳到新加的代码区
图10

完成！这样便把特征码的位置改变了，又不影响代码的执行，只要特征码定位准了，绝对免杀！
注意：文件地址指二进制文件的实际偏移地址，内存偏移指相对虚拟地址（RVA），一般等于文件偏移地址加基地址(感谢楚茗大哥的指点),通过定位特征码得出的是实际偏移地址，载入内存以后，地址会变化，不再是文件特征码定位时的地址了，所以修改特征码不能忘记把定位出的地址转换为对应内存地址，这里可以借助一个小工具oc.exe确定，然后再进行修改，WinHex,Uedit这类16进制编辑器打开显示的地址是文件地址，而OD这类动态汇编调试工具打开显示则的是内存地址。    

加壳
  不用说了，用工具大家都会，加壳的原理是给原程序加上一段保护程序，有保护和加密功能，运行加壳后的文件是先运行壳再运行真实文件从而起到保护作用。我想提醒大家的是，再好的壳用的人多了，还是会被杀的，所以可以努力学好E文，自己到国外的网站找加壳工具，比较好。这可是我压箱底的经验，一般人我不告诉他！

修改加壳后的文件
  加壳以后程序入口处会有一段特殊代码，可以自己用OD打开不同加壳工具加过壳的文件，可以发现不同的壳开头那段代码是不同的，也可以说成是壳的特征代码吧，对于常用的壳杀毒软件可以脱掉壳再查杀，也就是所谓的穿壳技术，为了避免杀毒软件认出是加的哪种壳我们可以加双壳，或者自己修改开头那段代码，从而让杀毒看不出是什么工具加的壳，这里我只讲一种修改方法，可以参照去头添加花指令，在空白区域加入一段别的壳的特征头，然后JMP跳到原入口，这样杀毒就会误判加壳工具，从而达到免杀的效果，其实方法是多样只要愿意思考总能想出应对的方法。

  还有一种修改壳的方法就是修改EP段的入口，用Peid查一下加过壳的木马，可以发现EP段的地址，也就是区段入口，通过修改EP入口地址可以达到免杀的效果，利用的工具是reloc（国内好象没提供下载的，我在国外网站找到的）放在光盘里了，具体使用方法自己去问google。

行为免杀
  这种杀毒的代表是绿鹰PC万能精灵。一般说来木马在运行以后会复制到系统目录下然后运行，原文件可能会自动删除，现在的木马一般是插入进程来访问网络的，在进程里可以看到被插入的进程，设置开机启动也是木马必须做的可以写入注册表，加入服务，写入驱动等等，这些便是木马特有的行为。我们可以用注册表监控，文件修改监控的工具比如木马辅助查找器记录修改的文件、注册表，推测杀毒可能监控的是哪个行为从而对应修改行为来达到行为免杀。还有一个一般的方法，行为杀毒是不会查杀系统的启动项的，我们可以把木马的启动项替换成非系统必须的开机自启动项就可以成功免杀了。至于其他的方法，大家可以自己再研究。

  至于网上流传的入口加1，就是用PEditor将木马入口地址+1，有时也是可以达到免杀的效果，好象是瑞星比较吃这个，还有个小窍门可以告诉大家，要让自己的免杀木马尽量久的不被查到，最好选择比较老的木马来做，对新木马，杀毒盯的紧会经常更新病毒库，而老的呢……不用说了吧。

总结：
  一般免杀步骤是先定义内存特征码，修改内存特征码，加花指令做文件免杀，如果还被某些杀毒查杀则定义文件特征码，修改特征码，接下来是行为免杀，然后加壳，再修改壳。内存免杀一般只要做瑞星的就可以了，其他的杀毒软件没有真正意义上的内存杀毒，比如卡巴斯基的内存扫描就是文件快速扫描，一般加入花指令（稍微学点汇编，折腾些垃圾代码是很简单的）以后就可以躲过金山，瑞星，江民的文件查杀，万一有不过的就要定位特征码再修改，卡巴的文件查杀是很牛的，加了壳也几乎都能可以查出来，一般都要定位特征码再修改，对于诺顿这种喜欢把特征码定位在PE头的只要用北斗之类工具加个壳，把PE头改得一塌糊涂（当然也可以手工修改PE头，不过比较麻烦，不容易说清楚，而且需要了解一些PE文件的结构知识，想知道的可以联系我，论坛ID：幽游），它就不认识了，如果还想把免杀做好点，可以把自己的服务和注册表键值改成非系统必须的，那么绿鹰这类行为查杀的笨蛋就成盲人了！要是你是不折不扣完美主义者，可以再修改一下加壳后的文件，把免杀进行到底！

  这篇文章主要讲了免杀的原理和理论上的方法以及一些个人的心得，并没有太多演示，因为我个人感觉，理解原理才是最重要的，只有这样你自己才可能有突破，想出更多免杀的方法，只要理解了原理免杀根本就不是难事！文中有很多地方是个人的理解，如果有不对的地方还请高手指正。最后希望杀毒软件有更多先进优秀的杀毒方法，更好地保护计算机的安全，也给我们一些挑战，还有国内的杀毒赶快发展起来，成为世界一流的杀毒软件，特别是金*，不要让我们做免杀的时候再把你忽略不计……

暑假写了拿去混稿费的，已经很久了发出来也无所谓了，一些总结，没有太高深的知识，不喜欢隐藏帖子，觉得写的不错主动回帖支持下，如果是技术性的讨论就更好了！

上一页  [1] [2] [3]