（转自暗组Dark Security Team）木马免杀的一些个人经验

jjjiii

转载的暗组的文章
如转载请注明来自: 暗组 [Dark Security Team] http://www.darkst.com/

木马免杀的一些个人经验


PE类：EXE. dll 

1.脱壳解密

脱壳在木马免杀中由为重要！。。所以希望大家好好学习脱壳

脱壳的好坏直接影响到木马免杀效果（如果不完全脱壳，在<定位内存特征码>可能会使定位中没发现特征码但是运行中又发现木马。）

2.定位特征码

一般从大范围定位后逐渐缩小范围（字节型）

（个数型）一般从生成100个数的大致定位特征码后转入字节型定位。

单一文件特征码定位：CLL MYCLL multiCCL
复合文件特征码定位：MYCLL multiCCL

内存特征码定位： OD（一半一半定位） MYCLL multiCCL  [一般都要确定你的文件是否完美完全脱壳后在进行文件特征码定位]

3.特征码修改

简单的等效代码转换如下：（不过有时改后也损坏文件所以看情况）
push　变　pop　
je  变　jnz
add 变 sub     
add ecx,2 可以改为　sub ecx,-2
加ecx内存器＋2   减ecx内存器-2　　- -2得＝2

上面的等效代码用不了还是乖乖用，JMP跳转法把特征码转移

4.附加数据加密算法变形

这个方法已经被pcshare冰雨发布了，就是pcshare附加数据的配置信息是xor 加密的。被杀毒定义了 所以我们只要改算法 xor 值 变一下就可以了！

5.RAR自解压（加密）
说白就是捆绑而已呵呵，不过去除右键 对部分杀毒有效无法分离出木马！可以躲避查杀 而且可变性比较强所以还有用武之地！

2009年重头戏，主动防御
6.文件版本伪造及数字签名的伪造

文件版本是一个用来描述文件用途及生产产商的相关信息

数字签名是个加密的过程，数字签名验证是个解密的过程。
数字签名主要的功能是：保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。

卡巴斯基主动防御模块有对数字签名进行验证，瑞星2009主动防御模块有对文件版本信息进行验证。

相关工具和教程可以在论坛中搜索即可找到


*******************************************************
网页木马类： JS html htm asp 等

1.拆分变量。

用&连接符号，拆分变量


2.加入垃圾代码。
和PE免杀花指令差不多，一些无用的垃圾变量或者空格一些特殊字符 或者GIF98 类似的文件头来做“花指令”呵呵！


3.等值代码修改
<html></html>

<htm></htm>

把html全部改htm 效果一样


4.代码添零
在记事本中加入空格，然后用16进制的编辑器（Uedit32）打开把 空格对应（20）替换成（00） 即可
该方法运用广泛。使用简单！！推荐 呵呵


5.编码加密(工具见附件)


6.使用变量（赋值语句）

变量名 = 函数或者语句

然后用的时候直接写变量名


7.字符反置（StrReverse反转函数）

使用函数StrReverse()，asp和js里面都有这个函数，针对一些字符串做免杀很好！

使用：StrReverse(哦的示演)， 输出结果就是“演示的哦” 也就是字符位置倒排了。做ASP免杀和HTML网马效果应该很不错。

8.字符简体转繁体

很多时候杀毒软件喜欢用一串字符和，一个字符作为特征码，这个时候我们可以尝试转换一下。如将简体转繁体 也许杀毒软件就不在报毒了。
这个方法很好运用只需要下载我写的：繁简转换精灵V1.0 即可！ URL：http://forum.darkst.com/thread-20481-1-1.html


（这类应用需要琢磨一下，比较容易出错特别是对 语言不熟悉的 建议看些书或者相关知识在弄）




起稿时间：2006.10.05 
最后更新：2009.02.08

到时候还要更新
=======================

暗组技术论坛 http://darkst.com  
       BY： New4    
                  
技术的精纯及无私         
的奉献才是我们最大的追求目标。

[ 本帖最后由 jjjiii 于 2009-5-17 11:48 编辑 ]

无语凝噎死你

不是黑客看不懂

zhq3210

做软件的能看懂

bigdinosaur

真是道高一尺魔高一丈，技术无极限。

xmiangui

感觉都是比较基本的方法。

倒是有一句话比较引起我的主意

卡巴斯基主动防御模块有对数字签名进行验证，瑞星2009主动防御模块有对文件版本信息进行验证。

hddgmon

这叫哪门子经验，就是个概述。。。。

白羊座

反正过不了hips

m_direction

看不懂呀？

迷惘依然

哈哈,NEW4老大的东西被发到这里来了,顺便帮NEW4做一下广告,大家想学免杀的话可以去买NEW4的《精通黑客免杀》来看看,里面很详细的说,虽然这本书出的时间比较长了,但还是有很多借鉴的地方的,还有就是贴子中有部分方法已经落后了......

封毒刃

哎..老东西..楼上的，那书也老东西了