谈谈自己对木马免杀认识(原创)
木马的免杀一般包括三个部分:文件免杀,内存免杀,行为免杀.国外的杀软对文件的查杀能力较强,如卡巴诺顿等等.而内存查杀最优秀的应该是我们国内的瑞星.行为查杀是最近兴起的一种杀毒方式,它是对应用程序的行为进行分析然后判断积分是否超标来决定是否为恶意程序.或许行为查杀将是未来国产杀软的方向.
介绍完了免杀的三个部分以后,下面开始具体的操作.经过一段时间的学习,自己对免杀技术有了一定的认识.内存免杀的唯一目标就是要躲过瑞星的内存查杀.通常采用修改特征码的方法.首先的进行内存特征码的定位,用到的工具一般是MYCCL,当然也可以用OD手工定位.不过在定位内存之前一定要先做瑞星的文件免杀,不然是无法正确定位内存的.定位结束以后进行特征码的修改.采用的方法主要是跳转法,大小写转换法,调换顺序法.视具体情况而定了.
内存免杀完成后进行文件免杀.现在比较流行的是花指令和加壳免杀.对于国内的杀毒软件很有效,毕竟国产的杀软是很弱的.但是对于国外的杀软就比较难了.如果说加花指令加壳后还是不能过,通常就进行特征码定位修改.比如说对付卡巴往往就要用到这种方法.还有迈克菲,诺顿等等.它们的查杀能力确实很强.一旦过了这些杀软,估计最后的难题就是NOD32了.这个杀软第一次遇到觉得太变态了,几乎用尽了全部的方法还是不能过.定位出来的特征码是在PE头的,很难做修改进行免杀.后来在网上看到说将PE头加密就可以过NOD32了,自己试了一下果然可以.其实过NOD32有个比较简单的方法,就是用两次北斗进行加壳.完成这一步以后应该说木马已经是比较完美了.几乎能够躲避全部杀软的查杀了.但是行为查杀的出现再一次带来了挑战.这种查杀方式不用特征码,所以无法通过一般的方法免杀.目前为止我还没有掌握躲过行为查杀的有效方法.所以说文章应该只是一部分.希望过段时间学会了可以继续写.
