危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18982392

旁门左道——免杀小技巧总结

免杀这个呀,危险漫步学了算挺长时间的了,大致分为6块,特征码免杀、加花、加壳、源码免杀、异或加密(多用于区段表)、各种小技巧。除源码免杀对你所免杀的东西所使用的编程语言有要求外,其他5种免杀的要求的都是PE文件结构、汇编、各种工具使用方法。有大量教程讲解这几类的,但是我们实际操作时却发现许多问题,理论严重脱离实际啊,这种小意外总是能让新学的童鞋们一阵挠头,这里危险漫步做个小总结希望对学习免杀的朋友有帮助。

一、跳转后服务端废了

有没有遇到过这种情况,定位的特征NOP后,把该处特征转移至某0区,测试免杀通过,测试上线,运行服务端却告诉你出错。这种情况出现的原因很简单,比如你定位的特征在地址45,大小为2,所以你把43到47全部移到某0区,测试免杀不杀,然后无法正常上线,这时你重新生成一个服务端,载入OllyDbg从43到47每行看看,一定会找到红线,简单解释就是比如在地址23处有句话会跳到44,而你把44处得代码挪走了,现在的44是NOP,这种问题的解决方案,只要回到23把那句里的地址改为你跳转后44的新地址就可以了,比如如果你把00402189挪到了00406666就把0040217B的代码中00402189改为00406666。

二、输入表错了

在lordPE和PEID中可以开输入表输出表和重定位数据的开始结束和大小,很方便,却也有弊端,有没有发现过定位出某特征到一处全是API函数名和DLL的地方,与输入表输出表等极尽相似,然后用lordPE和PEID-看输入表输出表却都不是这里,这里告诉你,那里绝对是输入表或输出表,至于为什么会在lordPE和PEID中看不到,大概是因为,你所使用的服务端以前被人重建或移位过输入表,所以这里我们不能再用一般的方法修改此处,大体有2种解决方案,异或加密、部分移位。异或加密就不说了吧,随便找个0区把加密代码写上,自己更改下加密段和异或数就可以了,部分移位,其实和输入表移位差不多,先找到这附近有一个库dll的名字,记下,然后把定位的特征和上下,整个这一段全后移,别问我多大算一段,只要是有字的就算这一段到空白为止,然后载人lordPE中点目录点输入表旁边那三个小点的按钮,将名称错误已出现错误的库的地址和库中函数的地址更改为新地址,就是你移动时向后移了几位,在这里地址就加几。然后一路保存确定。

三、数字签名(卡巴.360)

数字签名这个东西有时候对卡巴和360有效。首先找到卡巴或360的快捷方式,右键属性,查找目标,将找到的exe复制一个到你要免杀的文件所在的地方,将其载入LordPE,点击目录,记下“安全”的地址和大小,然后将其和你要免杀的服务端同时载入C32asm(打开一个后再点文件打开就可以了),(POWERPNT.exe为360的exe)在POWERPNT.exe中跳到前面纪录的地址,然后将这个地址开始到POWERPNT.exe结尾的全都内容全部选择拷贝,要是觉得拖拽很慢可以在开始地址按住shift点一下左键,在结尾再按住shift点一下左键,然后到服务端的最后一位右键粘贴,并记录下数字签名在服务端中的开始地址,保存关闭,将服务端载入lordPE,将数字签名在服务端中的开始地址复制到“安全”的地址,大小与你进行图一操作时记录的大小相同然后保存确定再保存确定。

相关推荐