挑战费尔的真实能力（录像）【转自深度】

7melody

在卡饭费尔区貌似没看到这个帖子，作为忠实的费尔粉丝，菜鸟级别的我只能转帖！



转自点饭技术论坛
本次录像的内容：
1、无壳黑洞服务端免杀，过费尔静态扫描
2、过费尔动态方法之（1）——杀进程
3、过费尔动态方法之（2）——修改费尔程序文件
4、费尔破坏试验——误杀自身启动项
5、费尔终极破坏实验——开费尔监控，不用卸载程序，从系统中清除费尔
一、无壳黑洞服务端免杀，过费尔静态扫描
因为特征定位比较耗时间，所以，我已经提前定位完毕了。费尔对于黑洞服务端的特征码定位，在偏移量128的位置，我们的目的就是如何修改此特征，过费尔的静态扫描。
先关掉费尔的实时监控，拷入原版的黑洞服务端（这里采用黑洞1.96，EXE服务端），右键扫描.
费尔报告病毒，但是因为是虚拟机，无法用90天序列号，所以文件名没有显示，这并不影响我们的操作。
用WinHex打开黑洞的服务端，找到偏移量128的所在位置，很明显的看到，这个是位于PE头部分， 所以，OD等工具派不上用场了,既然在PE头部，那么我们就要在PE头上做文章。方法很简单，用PEditor重建PE头，改变原有的PE头结构，从而达到静态免杀的目的。好了，重新用费尔扫描。已经达到了静态免杀的目的。
二、过费尔动态方法之（1）——杀进程
因为是录像，我就不写程序了，直接用批处理来实现好了！
费尔的进程名是“Twister.exe”，用taskkill等无法杀掉，但是，却可以用ntsd干掉他！
我们来写一个批处理：

::关闭屏幕回显
@echo off  
::利用ntsd结束费尔进程
ntsd -c q -pn Twister.exe
::安装木马打开费尔的实时监控，运行一下批处理，看看效果如何！
很好，费尔退出，木马成功安装。 服务端上线，非常成功。
三、过费尔动态方法之（2）——修改费尔程序文件
之所以有这个办法，是因为费尔的注册表监控不是利用Hook注册表操作用的API函数实现的，
而是利用注册表快照的对比来实现的。
这个技术的优点是不会被没有书面化的注册表操作函数以及HIVE方式写注册表等方法绕过。
缺点是不是实时的，与操作时间有一定的延迟，
而且一旦病毒写入注册表以后，直接调用NtShuodownSystem函数关机，将无法准确监控到注册表写入。
最大的缺陷是，快照需要保存到文件上，这个文件需要着重保护，而费尔却忽视了这一点！
不说这些了，我们来实际操作一下，看看如何绕过费尔的注册表防护。
动态防御报警了，因为我们之前安装了黑洞。。。。。
不管他，我们继续操作！
打开费尔的安装目录（病毒可以在注册表中读取），找到并进入sysrep目录，
在里边寻找regmonitor.trs文件，用写字板打开。
很好，这个是注册表的监控，我们在里边删除与映像劫持有关的内容，然后重启计算机。
PS：这鬼东西，还要重启生效。。。。
等一会吧。。。呵呵……
看到了什么提示？哈哈……
好了，我们继续，打开注册表编辑器，对费尔的主程序兼实时监控程序做影响劫持操作。
等一会，看看费尔没有报警吧？双击桌面上的费尔图标，已经无法启动了！
四、费尔破坏试验——误杀自身启动项
实验的操作方法很简单，直接删除费尔安装目录下的sysrep文件夹就可以了!
哦，忘记还原一下快照了，注册表防御功能已经被我报废了。。。。
那这个就略过吧，大家知道方法就好，可以自己去测试一下！
PS：费尔对自己的文件没有任何保护，实在是太危险了。。。我直接就把它删掉了。。。
五、费尔终极破坏实验——开费尔监控，不用卸载程序，从系统中清除费尔
这个也很容易实现，刚刚我们已经报废了费尔的注册表监控功能，并且，我们也能够杀死费尔的进程。   
我们还采用上边的方法杀死进程，直接运行ntsd -c q -pn twister.exe，杀死费尔进程，
接下来删掉他的安装目录，还有他的启动项，
剩下一个东东，右键菜单的扩展，不用管它了。。。
重启以前，删掉启动项，免得报错……
好了，重启机器，费尔完全消失！
最后一个懒得管他了，也可以删掉，还有就是添加删除程序里边的了。。。
PS：添加删除程序里边的没有删掉，其实在注册表中也是可以删除的。
好了，本次录像到此结束，感谢大家观看！





录像地址：http://www.fs2you.com/files/18f12e21-dd1e-11dc-8fa5-0014221f4662/

zzh161

放个贼进家门，那你装防盗门干什么用

SONGBOWEN

这个也是我的帖子

北方星空

高手，看看学习一下。

北方星空

看的一下，收益颇多，感觉改pe头挺多杀软也一样认不出来。

午夜钟摆

不管怎么样，这种测试方法好像有待商榷啊！

coolk

原帖由 午夜钟摆 于 2008-2-18 23:37 发表
不管怎么样，这种测试方法好像有待商榷啊！

正如zzh161版主所说。

SONGBOWEN

原帖由 北方星空 于 2008-2-18 23:36 发表
看的一下，收益颇多，感觉改pe头挺多杀软也一样认不出来。

PEiD的PE头重建功能，连卡巴都可以识别

samancy

如此测试费尔确实过不了关!但就这个试法又能有几个杀软能过关呢?
  对于费尔的自我保护弱,这一点我也赞同,因为费尔的用户群还不是太多,没有太大的名气,所以受黑客们关注的成度还不太明显,没有经历过太大的考验!但随着用户群的增加,这样的考验是一定会到来的,所有请做费尔的人还是关注一下这个问题才好!
对于这个实验,费尔有一个很无赖的作法还是可以阻止入侵的,那就是费尔的"病毒感染预警",这个方法虽然很无赖,但在关键的时候确很有用!不管什么文件我全不让你生成,你还能继续入侵吗?

bianwenlong

这个是我转到深度的
没想到也是小宋的,佩服