分享木馬免殺技術(shù)經(jīng)驗

木馬免殺,在國內(nèi)應(yīng)該起源于05年吧.從那時單一特征碼到現(xiàn)在復(fù)合特征碼,殺毒軟件從無主動防御到有主動防御.免殺技術(shù)越來越難.但是萬變不離其宗--改特征碼.到現(xiàn)在一些輔助軟件的行為查殺.

　　以下講解都是以遠程控制軟件為例(這里補充一個概念,木馬的反彈技術(shù),就是服務(wù)端主動連接客戶端.何謂主動連接呢,你只要把客戶端軟件在本機上開啟后,中馬的機子會主動連接上你的那個軟件,而不必你去找他的IP,再與他連接,這樣省去了不少麻煩)

　　因為現(xiàn)在的主動防御太強悍,尤其是卡巴,瑞星的主動防御是基于特征碼,所以很容易過.選遠控軟件的時候應(yīng)該選一個本身就過殺軟的,如PCSHARE,iRaT+Classic,gh0st等等,我個人覺得這幾個軟件都不錯,而且免殺容易.

　　行為查殺:大多數(shù)的木馬有默認的釋放路徑,而且安裝好后有幾個專用名詞,如灰鴿子安裝好后,就用"灰鴿子安裝完畢","黑防鴿子"安裝好后有"黑防專版"等字樣,這些都是作為行為查殺木馬的特征.配置時候把路徑改掉,配置好后用C32ASM把里面的字符找到后替換掉就可以了.

　　最關(guān)鍵的我還是認為是特征碼,也許大多數(shù)的人認為是主動防御.因為從我用馬的經(jīng)驗來說,像PCshare,iRaT+Classic等,只要改了特征碼后,主動照過.因為這些軟件本身就過殺軟的主防.講一下我改特征碼的經(jīng)驗吧:

　　1,定位出特征碼后,不要急著改特征碼,應(yīng)該先看看前面與后面的,我定位PCSHARE的時候定位出system.sys(小數(shù)點是被殺的， 也就是特征碼)， 而我把小數(shù)點前面的system改成大寫后就過那款殺毒軟件了。 這就說， 不要定位到哪里， 就改到哪里。

　　2,定位到CAll時， 應(yīng)該試試這樣：例， 定位到call 12345678,這樣一個， 你試試改成 call 12345677， 就是減1， 這種方法很有用

　　3.定位到PE頭時， 應(yīng)該PE頭移位， 我不詳細講， 這個網(wǎng)上看看方法， 很簡單的， 只是簡單的計算一下， 移位一下。 第二種方法， 我聽群里朋友說， 但自己還沒有試過， 就是用北斗加一下殼， 然后再脫殼， 這樣可以免殺，

　　4,定位到輸入表時， 也是相應(yīng)的移位， 這個網(wǎng)上方法也很多。 因為是淺談嘛， 所以不詳細說， 只是提示一下， 你在查免殺方法的同時， 會學(xué)到很多

　　5,第五是加一減一法， 如果定位到數(shù)字或者其它什么符號時， 加一減一試試， 這個我也試過， 有時候挺有用的

　　6,先加一個殼， 再定位特征碼， 這樣能減少特征碼的修改。

　　7.跳轉(zhuǎn)法。 找個零區(qū)域， 或者自己插入一個更佳， 把代碼移到零區(qū)域， 這是一種常用的方法

　　8.對付卡巴， 花指令很有效的， 花指令如何寫呢， 首先花指令就是一堆廢話， 沒有用的， 你惟一要做的就是維持堆棧平衡， 不然要出錯的。