注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

溪亭残月的博客

I want bring you into my heart !!

 
 
 

日志

 
 

木马免杀的一些个人经验  

2009-06-11 00:53:39|  分类: 免杀技术 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
如转载请注明来自: 暗组 [Dark Security Team] http://www.darkst.com/

木马免杀的一些个人经验


PE类:EXE. dll

1.脱壳解密

脱壳在木马免杀中由为重要!。。所以希望大家好好学习脱壳

脱壳的好坏直接影响到木马免杀效果(如果不完全脱壳,在<定位内存特征码>可能会使定位中没发现特征码但是运行中又发现木马。)

2.定位特征码

一般从大范围定位后逐渐缩小范围(字节型)

(个数型)一般从生成100个数的大致定位特征码后转入字节型定位。

单一文件特征码定位:CLL MYCLL multiCCL
复合文件特征码定位:MYCLL multiCCL

内存特征码定位: OD(一半一半定位)  MYCLL multiCCL    [一般都要确定你的文件是否完美完全脱壳后在进行文件特征码定位]

3.特征码修改

简单的等效代码转换如下:(不过有时改后也损坏文件所以看情况)
push 变 pop 
je   变 jnz
add 变 sub        
add ecx,2 可以改为 sub ecx,-2
加ecx内存器+2      减ecx内存器-2  - -2得=2

上面的等效代码用不了还是乖乖用,JMP跳转法把特征码转移

4.附加数据加密算法变形

这个方法已经被pcshare冰雨发布了,就是pcshare附加数据的配置信息是xor 加密的。被杀毒定义了 所以我们只要改算法 xor 值 变一下就可以了!

5.RAR自解压(加密)
说白就是捆绑而已呵呵,不过去除右键 对部分杀毒有效无法分离出木马!可以躲避查杀  而且可变性比较强所以还有用武之地!

*******************************************************
网页木马类:  JS html htm asp 等

1.拆分变量。

用&连接符号,拆分变量


2.加入垃圾代码。
和PE免杀花指令差不多,一些无用的垃圾变量或者空格一些特殊字符 或者GIF98 类似的文件头来做“花指令”呵呵!


3.等值代码修改
<html></html>

<htm></htm>

把html全部改htm 效果一样


4.代码添零
在记事本中加入空格,然后用16进制的编辑器(Uedit32)打开把  空格对应(20)替换成(00) 即可
该方法运用广泛。使用简单!!推荐 呵呵


5.编码加密(工具见附件)


6.使用变量(赋值语句)

变量名 = 函数或者语句

然后用的时候直接写变量名


7.字符反置(StrReverse反转函数)

使用函数StrReverse(),asp和js里面都有这个函数,针对一些字符串做免杀很好!

使用:StrReverse('哦的示演'), 输出结果就是“演示的哦” 也就是字符位置倒排了。做ASP免杀和HTML网马效果应该很不错。


(这类应用需要琢磨一下,比较容易出错特别是对 语言不熟悉的 建议看些书或者相关知识在弄)

 

 

起稿时间:2006.10.05 
最后更新:2008.05.28

到时候还要更新
======================= 

点击下载此文件

  评论这张
 
阅读(44)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017