危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览19379079

追寻特征码轻松免杀灰鸽子

随着杀毒软件病毒库的日益庞大,病毒被杀的的概率也越来越大。往往早上编写完成的病毒,到了下午就被列入病毒库。面对病毒被杀的尴尬,我们只能走一条路:免杀。

现在的杀毒软件日益强大,其病毒库的病毒种类也变多。当杀毒软件获得病毒样本后,会从病毒中取一段足以证明该病毒身份且独一无二的二进制代码,这就是所谓的特征码。当特征码被列入病毒库后,凡是带有该特征码的程序几乎都会被杀毒软件视为病毒程序。为了减少误杀的概率,现在的杀毒软件往往会从多处截取多段特征码,这就是复合特征码。

目前市场的杀毒软件杀毒方式大多分为两种:文件杀毒和内存杀毒,这两个方式的典型代表就是瑞星和卡巴斯基。一般我做免杀都用这两个杀毒软件做为参照,从另一个侧面我们也可以得出一个结论:病毒的免杀必须要从文件和内存两方面入手。

灰鸽子为例,我们就用修改特征码的方式来为灰鸽子做一次免杀。打开MYCCL加载灰鸽子的服务端,选择“带后缀”并为它设置一个目录。在这里我把分块数量设置为15(大家可以根据需求自行设置,不过要遵循由小到大的原则),然后生成就可以产生程序分块了。

接下来启动360安全卫士对目录内容进行查杀,检测到被杀文件后,把所有被杀文件删除掉。再进行二次处理,这时我们会发现MYCCL已经发现了一处特征码。这时我们继续使用杀毒软件杀毒,继续把被杀文件删除,再进行二次处理。这时我们发现程序再次出现提示发现特征码,这也就使我们获得了特征码的大致范围。

为了尽可能缩小特征码范围,我们还要继续操作。选择“特征区间”,右击特征码选择“符合定位此处”。然后再把分块数量改成100,这就是从小到大的原则。接着继续我们之前的操作,不断循环,直到生成的文件不被杀死为止,也就是说不断地取特征码范围,直到没有特征码可以取为止。

取完特征码后,我们就要对特征码进行修改。打开C32Asm载入灰鸽子的服务端,从第二排工具栏中选择倒数第三个(像花环一样的那个图标),接下来就是对特征码进行汇编修改。找到从汇编代码选取出特征码,右击特征码,选择“跳到”。这时会弹出一个窗口,我们在OFFSET中输入特征码地址后就会自动找到特征码所在位置。我们右击选择“填充”,用00直接填充后保存就可以了。

修改特征码是最常见的一种免杀方式,免杀的效果也非常不错。但面对当前杀毒的主动防御和云查杀,光是特征码已经不行了。还是那句话:免杀要结合多种方式才能起到效果。另外有一点危险漫步提醒各位要注意,每种木马都有自己的启动方式,针对不同的木马要采用不同的免杀方式,但免杀绝对不能单一。