查看: 10109|回复: 46
收起左侧

[转帖] 转帖:[全球首发]轻松突破Nod32启发式

[复制链接]
killloop
发表于 2007-9-1 13:30:37 | 显示全部楼层 |阅读模式
[全球首发]轻松突破Nod32启发式本帖被 gt2333588 设置为精华(2007-08-30)

 
文章作者:huanjue2

文章来源:暗组技术论坛(forum.darkst.com)

  如果你做免杀一般喜欢加壳的,那你不用往下看了。如果你没有定位过NOD32文件特征

码的你也不用看下去了。如果你定位过NOD32文件特征码的,但是定位结果是输出表或者其

他地方,且稍微一修改就免杀成功的,那更没必要看下去了。这里讲的是NOD32输入表免杀,

如果你曾几何时定位过NOD32特征码,定完一看是输入表,而且是偏移到哪里它还是一样追

杀到哪里的、至今困惑的、那么请往下看:

(这里叙述本人当时免杀的一些过程)

  首先我选择了免杀经典样品--原版黑防灰鸽子未修改版,生成一个Server_Setup.exe

用NOD32扫描一下,肯定是要杀的 - Win32/Hupigon 木马,普通启发和高级启发都是打开

的,然后我先把高级启发关掉,开始定位... 因为这样可以减少后面开了高级启发的特征码。

图1


  很顺利的定位出来[特征] 000A1565_00000001 由于不是定位输入表,很轻松的修改完

特征码。

图2


  再次扫描,免杀了。但是当我开启高级启发再扫描的时候还是被杀Win32/Hupigon 木马

变种(废话)...没办法,老样子,重新打开高级启发再次定位.... 时间逝去了一大堆,终于定

位完成,一看结果居然多达十几二十多处,全是输入表函数,具体地址我没记下来,反正很

多... 没办法只有硬着头皮改,先试着偏移一处,其他的填充掉,保存,还是被杀!早料到了....

  怎么办?网上找资料... 再继续,先加壳再脱壳?... 无效。重建输入表?... 被杀。

网上根本没资料,很多文章是说了等于没说。后来我把输入表整体移动了一个位置,保存后,

虽然不能运行了(原因不知),但还是被NOD32查杀。

  在我彻底绝望的时候,我尝试了一种最原始的免杀方法,一半一半法,在不断的测试中

我发现NOD32不只在输入表里有特征码,而是在代码段也有,而且在某个位置填充掉后,在

根本没修改输入表函数的情况下就免杀了,当然程序被我填充坏掉了,不能运行。但是有一点可

以肯定的是不修改输入表函数也是能够免杀NOD32。有人可能想到了那么就只定位CODE段不

就出来了么?当然不会有那么简单,不然NOD32也不会这么麻烦了。在我后来测试中又发现填

充的时候从前面往后面定的时候能找出特征码位置,但是从后往前就无法找出来了。比如A和B,

把A填充掉、留下B就免杀了,但是把B填充掉、留下A还是会被查杀,所以我得出一个结论必须

得从前往后定位,因为通常的定位工具都是从末尾往开头填充,所以我们都只能顺着NOD32的

方向定到输入表上。Multiccl我没常用,不知道有没有这功能,而MYCCL直接选择反向就可以了.

图3


  但是这样还是不能够顺利定位出来真实特征码,还得注意一个小问题,就是一般选择反向

定位就会直接定到PE头上,就算你移动了PE头还是会杀的,怎么解决呢?我们只需要把定位的

位置改到PE头以外,从代码段开始定位就一切OK了。

  ...若干分钟后顺利定位出NOD32的特征码位置,定出特征码16处特征码 物理地址/物理长度

如下:
[特征] 00006204_00000002
[特征] 0000620C_00000002
[特征] 00006234_00000002
[特征] 0000623C_00000002
[特征] 0000626C_00000002
[特征] 00006314_00000002
[特征] 0000635C_00000002
[特征] 0000638C_00000002
[特征] 000063AC_00000002
[特征] 000063C4_00000002
[特征] 000063CC_00000003
[特征] 0000645C_00000002
[特征] 0000649C_00000002
[特征] 0000652C_00000002
[特征] 00057C2F_00000002
[特征] 00057EFC_00000002

  不愧为经典样品,所谓越经典特征码越多。HOHO.. 一大部分都是和输入表函数关联着的JMP。

图4


  小小修改一下、轻松搞定、保存、NOD32扫描....已发现病毒数量: 0  测试运行正常成功上线!

图5

图6


转载请注明出处:(http://forum.darkst.com/read.php?tid=8485&u=4312)

------------------------------------------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------------------------------------------

录了一个动画,给新手看的,内容比较简单,还是看文章详细。

下载地址:http://webdisk.cech.com.cn/download/file_share_5954771.html

评分

参与人数 1经验 +2 收起 理由
xffsfy + 2 版区有你更精彩: )

查看全部评分

killloop
 楼主| 发表于 2007-9-1 13:34:27 | 显示全部楼层
暗组兵器库

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
The EQs
发表于 2007-9-1 14:50:39 | 显示全部楼层
看来eset又得改查杀机制了。。。
秋叶濛濛
发表于 2007-9-1 18:19:16 | 显示全部楼层
技术性文章 怎么没人顶
458506
发表于 2007-9-1 18:24:55 | 显示全部楼层
好啊。。只有挑战才能有进步。。。
风野胤
发表于 2007-9-1 18:27:16 | 显示全部楼层
其实最简单的是乱加壳
试试总有过的
The EQs
发表于 2007-9-1 18:32:46 | 显示全部楼层

回复 6楼 的帖子

加壳在很多黑客论坛里面被认为是最没技术的手段。。。nod32在很多黑客论坛里面都是被认为是魔鬼级的。。。。特征码定位非常BT。。。。打乱输入表才能对其做免杀。。。
nyk1986
头像被屏蔽
发表于 2007-9-1 18:34:17 | 显示全部楼层
好帖,虽然我不懂,纯顶了
风野胤
发表于 2007-9-1 18:36:41 | 显示全部楼层

回复 7楼 的帖子

不过这也是最简单的方法
我悄悄地提一个人
周幸。。。。。。
ps nod现在还不能脱svkp吧
The EQs
发表于 2007-9-1 18:45:43 | 显示全部楼层

回复 9楼 的帖子

nod32脱壳引擎的问题。。。卡巴和蜘蛛也有同样的问题。。。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 15:38 , Processed in 0.131893 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表