教你轻松突破Nod32启发式（转贴）

jjjiii

文章作者:huanjue2

文章来源:暗组技术论坛(forum.darkst.com)

　　如果你做免杀一般喜欢加壳的，那你不用往下看了。如果你没有定位过NOD32文件特征

码的你也不用看下去了。如果你定位过NOD32文件特征码的，但是定位结果是输出表或者其

他地方，且稍微一修改就免杀成功的，那更没必要看下去了。这里讲的是NOD32输入表免杀，

如果你曾几何时定位过NOD32特征码，定完一看是输入表，而且是偏移到哪里它还是一样追

杀到哪里的、至今困惑的、那么请往下看：

　　　　　　　　　　　　　　　　　　 （这里叙述本人当时免杀的一些过程）

　　首先我选择了免杀经典样品--原版黑防灰鸽子未修改版，生成一个Server_Setup.exe用

NOD32扫描一下，肯定是要杀的 - Win32/Hupigon 木马，普通启发和高级启发都是打开的,

然后我先把高级启发关掉，开始定位... 因为这样可以减少后面开了高级启发的特征码。

很顺利的定位出来[特征] 000A1565_00000001 由于不是定位输入表，很轻松的修改完

特征码。


再次扫描，免杀了。但是当我开启高级启发再扫描的时候还是被杀Win32/Hupigon 木马

变种（废话）...没办法，老样子，重新打开高级启发再次定位.... 时间逝去了一大堆，终于定

位完成，一看结果居然多达十几二十多处，全是输入表函数，具体地址我没记下来，反正很

多... 没办法只有硬着头皮改，先试着偏移一处，其他的填充掉，保存，还是被杀！早料到了.... 

　　怎么办？网上找资料... 再继续，先加壳再脱壳？... 无效。重建输入表？... 被杀。网上根

本没资料，很多文章是说了等于没说。后来我把输入表整体移动了一个位置，保存后，虽然

不能运行了（原因不知），但还是被NOD32查杀。


　　在我彻底绝望的时候，我尝试了一种最原始的免杀方法，一半一半法，在不断的测试中

我发现NOD32不只在输入表里有特征码，而是在代码段也有，而且在某个位置填充掉后，在

根本没修改输入表函数的情况下就免杀了，当然程序被我填充坏掉了,不能运行。但是有一点

可以肯定的是不修改输入表函数也是能够免杀NOD32。有人可能想到了那么就只定位CODE

段不就出来了么？当然不会有那么简单，不然NOD32也不会这么麻烦了。在我后来测试中又

发现填充的时候从前面往后面定的时候能找出特征码位置，但是从后往前就无法找出来了。。

比如A和B，把A填充掉、留下B就免杀了，但是把B填充掉、留下A还是会被查杀，所以我得

出一个结论必须得从前往后定位，因为通常的定位工具都是从末尾往开头填充，所以我们都

只能顺着NOD32的方向定到输入表上。Multiccl我没常用，不知道有没有这功能，而MYCCL

直接选择反向就可以了。


但是这样还是不能够顺利定位出来真实特征码，还得注意一个小问题，就是一般选择反

向定位就会直接定到PE头上，就算你移动了PE头还是会杀的，怎么解决呢？我们只需要把

定位的位置改到PE头以外，从代码段开始定位就一切OK了。


.. 若干分钟后顺利定位出NOD32的特征码位置，定出特征码16处特征码,物理地址/物理长度

如下:
[特征] 00006204_00000002
[特征] 0000620C_00000002
[特征] 00006234_00000002
[特征] 0000623C_00000002
[特征] 0000626C_00000002
[特征] 00006314_00000002
[特征] 0000635C_00000002
[特征] 0000638C_00000002
[特征] 000063AC_00000002
[特征] 000063C4_00000002
[特征] 000063CC_00000003
[特征] 0000645C_00000002
[特征] 0000649C_00000002
[特征] 0000652C_00000002
[特征] 00057C2F_00000002
[特征] 00057EFC_00000002

　　不愧为经典样品，所谓越经典特征码越多。HOHO.. 一大部分都是和输入表函数关联着的

JMP,到这里终于明白了以前为什么定位到的输入表特征，无论如何偏移都被查杀的原因了。。

因为无论你API位置如何地变化，这里对应的JMP还是直接关联API的，你偏移了API，这里的

JMP位置始终没变，直接就能跳转到输入表函数上去，所以 NOD32只要把特征码定位到这个

地方，你无论怎么偏移都是没有效果的了。



　最后，小小修改一下、轻松搞定、保存、NOD32扫描....已发现病毒数量: 0 测试运行正

常成功上线！

转载请注明出处:(http://forum.darkst.com/viewthread.php?tid=8485&u=4312)

傻猪猪米走鸡

很多年前的文章了，估计现在被修复了！

chabosh

早就过时了

heroa

不刻意虐杀任何一个杀毒软件偶，没意义。

d_sx

暗组的，已经失效。

闲得慌

后门关了

1aty

喜欢加壳。
现在对免杀已经没有一点兴趣了。。

熊猫教父

老帖子了！古董啊！

gho

呵呵过时了

天下无毒

学习了!