危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2306 浏览20613313

免杀纵横谈

好多人和我说免杀难,其实吧,这话也对也不对,免杀要求的基础并不高,至少比破解逆向低多了,掌握基本方法也用不了多久,可是很多新手同学都不能够免杀成功,根据我的经验,主要有三点原因:

一,使用工具太老

这个很容易理解,那些工具你能下载,杀软公司自然也能下载,时间长了自然就被杀软公司摸清底细了,最明显的是壳子,有的壳子确实可以加个就免杀的,但是那种东西在现在各种上传云查杀的杀软面前,寿命有限,还有一些加区器也一样,证据是一些已经免杀的远控如果加上一个比较老的壳子,或用加区器加个区段就又会被杀了。解决方法:壳子什么的就不用试了,你能免费拿到的壳子基本都是被杀的,加区器的话,先找个免杀的远控,加个区看看杀不杀,杀的话就果断换吧。

二,定位不准确

好多人免杀不成,就是因为定位时各种死循环,要不就是一直定位到E0或者400和I000,这个严格来说和第一个也有关系,因为myccl也是一款元老级的工具了,稍微有的能力的杀软早就有了各自对抗其定位的办法。用教程中那种生成杀毒二次定位的方法已经不能准确定位现在的杀软了,360就是一个很好的例子,你用教程中那种方法定位一定最后会定位到EO,下面是网上流传比较广泛的儿种猜测,我也不好说那个管用,那个不管用,反正我一般定位之前都把能感到的方法都用一遍,然后测试可以上线后再开始定位。

1.杀文件名

360定位云查杀引擎时,比如用MYCCL输出9个文件,分别为0000一……;000l……;0002一……;0003一……;0004一……: 0005_……;0006……:0007一……;0008’…“;每次输出9个文件,360云查杀每次都是杀0004……;0005……;0006……;0007一……;0008一……,而0000……;000l一……;0002一……;0003一……不杀,奥秘就在这里,当你把原来不杀的0000一……;0001-……:

0002……;0003……;重命名为0004_-----':0005--.---- ;   0006_-.- --' ;   0007_...360就杀了,更有趣的是,然后你从QQ的目录里随便复制出一个文件,比如QQ.exe,用360查杀,“本次扫描未发现安全威胁”,然后你把QQ.exe重命名为0004 00052960一00014A20.dat,再-用360查杀,360报毒为“行为和木马比较相似的程序”,360为了干扰定位特征码结果,丢查杀还杀文件名,同样的那个OUTPUT的目录名貌似也有问题。    

解决方法:查杀目录不要用output,名字随便改;工具可以对生成文件夹内所有的分块文件进行批量改名及批量恢复。    

2.查杀日志记录

就是在360下LogWiruScanLog目录内一切,有时也会影响查杀结果,解决方法:定时清理一下。

3.检测主机进程

装有3 60的系统检测出有MYCCL的进程,360就会对同一个文件有时杀有时不杀,来干扰定位结果。

解决方法:分块时别分太多块,然后把在主机生成的文件复制到装360的虚拟机里,用360查杀后记下被杀的文件,回主机的MYCCL输出文件夹里手动删除,然后进行二次处理,……以此类推。

4.该杀软对你要定位的文件过于了解,有的同学会问什么是过于了解,360X寸原版的鸽子和ghOst就叫过于了解,这种东西最少也得有个几十条特征,可你定位时一定最后定位到EO,不信的同学可以自行测试,这种东西是很不好办的,建议初学者不要碰这个,先找一些别人做过免杀的做实验,多熟悉方法。

解决方法:分块之前对木马进行一系列的修改,例如重建输入表,加密,加花,加壳改壳,优化PE,修改版权、图标、MD5值、输入表和输出表、安全、tls表、保留的大小可以随意改,将文件载ALordPE盾点击目录。

加密、加花、改壳,就是OD添加修改代码、LordPE修改入口,记得重建输入表后要在LordPE中对区段和输入表处理一下,否则自傲,网上各种教程,我就不细说了,再补一句,异或区段加密和区段合并配合有奇效,加壳、优化PE、修改MD5值都用工具就行了也不用说了吧,不过MD5还是建议手动,不过新手还是工具把,比较简单,版权、图标用Restorator载人木马和另一个正常文件,将木马中的版权图标什么的都删除,没有就算了,再把正常文件的版权图标复制再粘贴到木马里,然后保存。

三,定位出来不会改

这是最悲剧的了,克服艰难险阻就在终于要成功的时~hold不住了,这个很简单吧,就是你在用尽你所知道的方法后不是不能达到免杀效果就是不能上线了。

解决方法:建议多了解一些汇编及PE结构的知识,还有多看教程,熟悉OD的各项功髓,OD可是灰常强大的,好多功能。

基本就些了,上面所说的方法大家要活学活用,免杀切忌生拉硬套,要进行组合创新才有出路,最重要的是大家一定要多看教程,多做实验,积累经验,这个才是最主要的。

云引擎是一种新兴技术,其实也不算太新了,基本各大杀软都有,我接触的最多的就是360的云查杀,这个引擎自从360升级到V3.O后越发犀利,下面我来谈谈危险漫步的看法。首先说myccl的运行原理,简单来说就是比如一个程序是由一百句代码写成的,然后定位时你分100块,这一百块分别是:

①把第一句以外的全用00填充只留第一句;

②把第二句以外的全用00填充只留第二句;

③把第三句以外的全用00螟充只留第三句…以此类推,然后看杀软杀哪个,特征码就在那句上,然后把定位出的那一句填充后再分块,看还有没有其他特征,当然这只是简单理解。

然后说什么是云,云就是一堆服务器,杀软把扫描到怀疑是木马但不确认的文件都上传到云,然后进行分析、比对。

最后说明云查杀的原理,简单理解成杀软在扫描到不确认的文件时会连接服务器进行确认,那么他到底确认什么,怎么确认呢,有人说MD5,有人说360对比PE文件蓬部,也有人说PE头,但是这几个都改了也不一定笺过3,0的云,以下是我的看法,云引擎虽然送行分析,不过速度毕竟太慢,所以云引擎只能使零类似多个点对比的方法,还是假设一个由100句代码写成的程序,然后假设云引擎定出三个云特征分别是第30句、第60句、第90句,注意这里的云特征这个词是我编的,它和特征不同,诮继续向下看,然后假设A电脑B电脑C电脑,三台电脑上传了三个可疑文件,而这三个可疑文件互相进行对比,结果发现这三个文件的第30句、第60句、第90句都分别对应相同,然后就杀了,但是这种杀仍然是不确认的,威胁类型是“行为类似木马的程序”。

看到这里脑子好的同学就应该明白怎么回事了,想象一下用myccl去定位云驯擎会怎么样,myccl分了一百块,每块只有一句代码,可是云必须三句代码同时出现在30、60、90才会杀,结果就是根本定位不出特征。

你要非说你能定位出来那也对,我也定位出来过,有时凑巧确实是可以定位出来的,但是普遍负杀期都较短,知道为什么吗,因为三处云特征你只定位出了一处,我这样说是有根据的,假设mycc:真的凑巧没有填充30、60、90,结果杀了30,特征出现在了30,把30填充后只剩60和90,云就不再杀了,你定位不出后面的,你想一下,3处你就改了一处,虽然确实当时是能免杀了,可是你认为免杀期能有多长,几个小时?而且最近甲壳虫那些大牛们说,3.O的云怕压缩壳,压缩壳的原理就好比在二进制下让”1234561234561234”,把”1234”用a表示,把”56“用b表示,就变成ababa,变小,这是基本的压缩原理,更高级的压缩壳可不是这么做的,那些有自己的算法但是一个结果都是会大范围的修改了语句,大范围修改后无法对比,就过了。

这种情况的解决方法是自己填充,简单说一下吧,myccl分块后,对目录内每个分块文件载入C32分别进行处理,把一些填充的部分还原或更改成一句随便别的什么,或把一些漫填充的地方填充,记住对哪个文件进行过什么操作,在MYCCL定位出后(注意这时定位出的既不是特征也不是是云特征,我称之为结果),再根据结果分析,最终推测出云特征在何处,这个推测我也没有100%的把握,也许有时推出的既不是特征也不是云特征,而且也不可能推出所有的云特征,举个例子最多推出3条中的2条,但是有一点可以确定,经过推测云特征并修改的木马兔杀期远远长于没有处理过的,一个是几天,一个是几个小时。

相关推荐