转帖:[全球首发]轻松突破Nod32启发式

killloop

[全球首发]轻松突破Nod32启发式本帖被 gt2333588 设置为精华(2007-08-30)

　
文章作者:huanjue2

文章来源:暗组技术论坛(forum.darkst.com)

　　如果你做免杀一般喜欢加壳的，那你不用往下看了。如果你没有定位过NOD32文件特征

码的你也不用看下去了。如果你定位过NOD32文件特征码的，但是定位结果是输出表或者其

他地方，且稍微一修改就免杀成功的，那更没必要看下去了。这里讲的是NOD32输入表免杀，

如果你曾几何时定位过NOD32特征码，定完一看是输入表，而且是偏移到哪里它还是一样追

杀到哪里的、至今困惑的、那么请往下看：

（这里叙述本人当时免杀的一些过程）

　　首先我选择了免杀经典样品--原版黑防灰鸽子未修改版，生成一个Server_Setup.exe

用NOD32扫描一下，肯定是要杀的 - Win32/Hupigon 木马，普通启发和高级启发都是打开

的,然后我先把高级启发关掉，开始定位... 因为这样可以减少后面开了高级启发的特征码。

图1


　　很顺利的定位出来[特征] 000A1565_00000001 由于不是定位输入表，很轻松的修改完

特征码。

图2


　　再次扫描，免杀了。但是当我开启高级启发再扫描的时候还是被杀Win32/Hupigon 木马

变种（废话）...没办法，老样子，重新打开高级启发再次定位.... 时间逝去了一大堆，终于定

位完成，一看结果居然多达十几二十多处，全是输入表函数，具体地址我没记下来，反正很

多... 没办法只有硬着头皮改，先试着偏移一处，其他的填充掉，保存，还是被杀！早料到了....

　　怎么办？网上找资料... 再继续，先加壳再脱壳？... 无效。重建输入表？... 被杀。

网上根本没资料，很多文章是说了等于没说。后来我把输入表整体移动了一个位置，保存后，

虽然不能运行了（原因不知），但还是被NOD32查杀。

　　在我彻底绝望的时候，我尝试了一种最原始的免杀方法，一半一半法，在不断的测试中

我发现NOD32不只在输入表里有特征码，而是在代码段也有，而且在某个位置填充掉后，在

根本没修改输入表函数的情况下就免杀了，当然程序被我填充坏掉了,不能运行。但是有一点可

以肯定的是不修改输入表函数也是能够免杀NOD32。有人可能想到了那么就只定位CODE段不

就出来了么？当然不会有那么简单，不然NOD32也不会这么麻烦了。在我后来测试中又发现填

充的时候从前面往后面定的时候能找出特征码位置，但是从后往前就无法找出来了。比如A和B，

把A填充掉、留下B就免杀了，但是把B填充掉、留下A还是会被查杀，所以我得出一个结论必须

得从前往后定位，因为通常的定位工具都是从末尾往开头填充，所以我们都只能顺着NOD32的

方向定到输入表上。Multiccl我没常用，不知道有没有这功能，而MYCCL直接选择反向就可以了.

图3


　　但是这样还是不能够顺利定位出来真实特征码，还得注意一个小问题，就是一般选择反向

定位就会直接定到PE头上，就算你移动了PE头还是会杀的，怎么解决呢？我们只需要把定位的

位置改到PE头以外，从代码段开始定位就一切OK了。

　 ...若干分钟后顺利定位出NOD32的特征码位置，定出特征码16处特征码 物理地址/物理长度

如下:
[特征] 00006204_00000002
[特征] 0000620C_00000002
[特征] 00006234_00000002
[特征] 0000623C_00000002
[特征] 0000626C_00000002
[特征] 00006314_00000002
[特征] 0000635C_00000002
[特征] 0000638C_00000002
[特征] 000063AC_00000002
[特征] 000063C4_00000002
[特征] 000063CC_00000003
[特征] 0000645C_00000002
[特征] 0000649C_00000002
[特征] 0000652C_00000002
[特征] 00057C2F_00000002
[特征] 00057EFC_00000002

　　不愧为经典样品，所谓越经典特征码越多。HOHO.. 一大部分都是和输入表函数关联着的JMP。

图4


　　小小修改一下、轻松搞定、保存、NOD32扫描....已发现病毒数量: 0  测试运行正常成功上线！

图5

图6


转载请注明出处:(http://forum.darkst.com/read.php?tid=8485&u=4312)

------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------

录了一个动画，给新手看的，内容比较简单，还是看文章详细。

下载地址:http://webdisk.cech.com.cn/download/file_share_5954771.html

killloop

暗组兵器库

The EQs

看来eset又得改查杀机制了。。。

秋叶濛濛

技术性文章 怎么没人顶

458506

好啊。。只有挑战才能有进步。。。

风野胤

其实最简单的是乱加壳
试试总有过的

The EQs

加壳在很多黑客论坛里面被认为是最没技术的手段。。。nod32在很多黑客论坛里面都是被认为是魔鬼级的。。。。特征码定位非常BT。。。。打乱输入表才能对其做免杀。。。

nyk1986

好帖，虽然我不懂，纯顶了

风野胤

不过这也是最简单的方法
我悄悄地提一个人
周幸。。。。。。
ps nod现在还不能脱svkp吧

The EQs

nod32脱壳引擎的问题。。。卡巴和蜘蛛也有同样的问题。。。。