木馬免殺,在國(guó)內(nèi)應(yīng)該起源于05年吧.從那時(shí)單一特征碼到現(xiàn)在復(fù)合特征碼,殺毒軟件從無(wú)主動(dòng)防御到有主動(dòng)防御.免殺技術(shù)越來(lái)越難.但是萬(wàn)變不離其宗--改特征碼.到現(xiàn)在一些輔助軟件的行為查殺.

以下講解都是以遠(yuǎn)程控制軟件為例(這里補(bǔ)充一個(gè)概念,木馬的反彈技術(shù),就是服務(wù)端主動(dòng)連接客戶端.何謂主動(dòng)連接呢,你只要把客戶端軟件在本機(jī)上開(kāi)啟后,中馬的機(jī)子會(huì)主動(dòng)連接上你的那個(gè)軟件,而不必你去找他的IP,再與他連接,這樣省去了不少麻煩)

因?yàn)楝F(xiàn)在的主動(dòng)防御太強(qiáng)悍,尤其是卡巴,瑞星的主動(dòng)防御是基于特征碼,所以很容易過(guò).選遠(yuǎn)控軟件的時(shí)候應(yīng)該選一個(gè)本身就過(guò)殺軟的,如PCSHARE,iRaT Classic,gh0st等等,我個(gè)人覺(jué)得這幾個(gè)軟件都不錯(cuò),而且免殺容易.

行為查殺:大多數(shù)的木馬有默認(rèn)的釋放路徑,而且安裝好后有幾個(gè)專用名詞,如灰鴿子安裝好后,就用"灰鴿子安裝完畢","黑防鴿子"安裝好后有"黑防專版"等字樣,這些都是作為行為查殺木馬的特征.配置時(shí)候把路徑改掉,配置好后用C32ASM把里面的字符找到后替換掉就可以了.

最關(guān)鍵的我還是認(rèn)為是特征碼,也許大多數(shù)的人認(rèn)為是主動(dòng)防御.因?yàn)閺奈矣民R的經(jīng)驗(yàn)來(lái)說(shuō),像PCshare,iRaT Classic等,只要改了特征碼后,主動(dòng)照過(guò).因?yàn)檫@些軟件本身就過(guò)殺軟的主防.講一下我改特征碼的經(jīng)驗(yàn)吧:

1,定位出特征碼后,不要急著改特征碼,應(yīng)該先看看前面與后面的,我定位PCSHARE的時(shí)候定位出system.sys（小數(shù)點(diǎn)是被殺的，也就是特征碼），而我把小數(shù)點(diǎn)前面的system改成大寫后就過(guò)那款殺毒軟件了。這就說(shuō)，不要定位到哪里，就改到哪里。

2,定位到CAll時(shí)，應(yīng)該試試這樣：例，定位到call 12345678,這樣一個(gè)，你試試改成 call 12345677，就是減1，這種方法很有用

3.定位到PE頭時(shí)，應(yīng)該P(yáng)E頭移位，我不詳細(xì)講，這個(gè)網(wǎng)上看看方法，很簡(jiǎn)單的，只是簡(jiǎn)單的計(jì)算一下，移位一下。第二種方法，我聽(tīng)群里朋友說(shuō)，但自己還沒(méi)有試過(guò)，就是用北斗加一下殼，然后再脫殼，這樣可以免殺，

4,定位到輸入表時(shí)，也是相應(yīng)的移位，這個(gè)網(wǎng)上方法也很多。因?yàn)槭菧\談嘛，所以不詳細(xì)說(shuō)，只是提示一下，你在查免殺方法的同時(shí)，會(huì)學(xué)到很多

5,第五是加一減一法，如果定位到數(shù)字或者其它什么符號(hào)時(shí)，加一減一試試，這個(gè)我也試過(guò)，有時(shí)候挺有用的

6,先加一個(gè)殼，再定位特征碼，這樣能減少特征碼的修改。

7.跳轉(zhuǎn)法。找個(gè)零區(qū)域，或者自己插入一個(gè)更佳，把代碼移到零區(qū)域，這是一種常用的方法

8.對(duì)付卡巴，花指令很有效的，花指令如何寫呢，首先花指令就是一堆廢話，沒(méi)有用的，你惟一要做的就是維持堆棧平衡，不然要出錯(cuò)的。

9,學(xué)習(xí)免殺應(yīng)該懂一些十六進(jìn)制工具，匯編工具，也應(yīng)該懂一些匯編，其它改多了就好。推薦大家去下具的網(wǎng)址：www.pediy.com(這是一個(gè)大大有名的網(wǎng)站，看雪論壇），還有甲殼蟲www.jksing.com/bbs里面有很多的免殺資料還會(huì)不定時(shí)的公布一些免費(fèi)的DAT文件。

版權(quán)聲明：本站文章來(lái)源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來(lái)源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來(lái)源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來(lái)，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。