对国内外杀毒软件分析

pkgua

    　　第一部分
在讲特征码前，先要分析国内外著名杀毒软件的查杀特点。
大家在使用木马过程都会发现，内存查杀，一般都指得被瑞星的内存查杀。瑞星
的内存查杀功能是同类杀毒软件中最强的一款杀毒软件。像强悍的卡巴，金山，
等等它们的内存查杀意义不大,会制作免杀木马的人都知道,像这类杀毒软件,只要
文件免杀,内存也就免杀了.还有江民也有内存查杀功能,但内存查杀功能比较弱.只
针对影响力非常大的病毒程序.一般的黑客软件都没有提取内存特征码.
　　　　　　　　　　　第二部分：木马免杀的对策
　一.　要使一个木马免杀，首先要准备一个不加壳的木马，这点非常重要，否则
下面的免杀操作就不能进行下去。
　二.然后我们要木马的内存免杀，从上面分析可以看出，目前的内存查杀，只有
瑞星最强，其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀
，要进行内存特征码的定位和修改，才能达到内存免杀。
　二.对符其它的杀毒软件，比如江民，金山，诺顿,卡巴.我们可以采用下面的方
法,或这些方面的组合使用.1>.入口点加1免杀法.
2>.变化入口地址免杀法
3>.加花指令法免杀法
4>.加壳或加伪装壳免杀法.
5>.打乱壳的头文件免杀法.
6>.修改文件特征码免杀法.
第三部分:免杀技术实例演示部分
一.入口点加1免杀法
1.用到工具 Editor
2.特点:非常简单实用,但有时还会被卡巴查杀.
3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可.
二.变化入口地址免杀法
1.用到工具:OllyDbg,PEditor
2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳.
3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后
又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址.
三.加花指令法免杀法
1.用到工具:OllyDbg,PEditor
2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀.
3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去
填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令
的着地址.
四.加壳或加伪装壳免杀法
1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等.
2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀.
3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的
免杀效果更佳.
五.打乱壳的头文件免杀法
1.用到工具:秘密行动 ,UPX加壳工具.
2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好.
3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款
工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.
六.修改文件特征码免杀法:
1.用到工具:特征码定位器,OllyDbg
2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要
达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好.
3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程.
1.用到工具:特征码定位器,OllyDbg
2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好
特征码修改方法
特征码修改包括文件特征码修改和内存特征码修改，因为这二种特征码的修改方法是通用的。所以就对目前流行的特征码修改方法作个总节。
方法一:直接修改特征码的十六进制法
1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.
2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下能否正常使用.
方法二:修改字符串大小写法
1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.
2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.
方法三:等价替换法
1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.
2.适用范围:特征码中必需有可以替换的汇编指令.比如JN,JNE 换成JMP等.如果和我一样对汇编不懂的可以去查查8080汇编手册.
方法四:指令顺序调换法
1.修改方法:把具有特征码的代码顺序互换一下.
2.适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行
方法五:通用跳转法
1.修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.
2.适用范围:没有什么条件,是通用的改法,强烈建议大家要掌握这种改法.
木马免杀的综合修改方法
文件免杀方法：
1.加冷门壳
2.加花指令
3.改程序入口点
4.改木马文件特征码的5种常用方法
5.还有其它的几种免杀修改技巧
内存免杀方法
修改内存特征码：
方法1>直接修改特征码的十六进制法
方法2>修改字符串大小写法
方法3>等价替换法
方法4>指令顺序调换法
方法5>通用跳转法
壳入口修改法
1.用到工具：压缩壳 OD
2.特点：操作简单 免杀效果好
3.操作步骤：首先给木马加压缩壳 然后用OD载入...
在入口处的前15句中.....
NOP掉某些代码或者等价代换某些代码（不影响运行的前提下）...
改完之后保存就可以了

第四部分:快速定位与修改瑞星内存特征码
一.　瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符
串作为病毒特征码,这样对我们的定位和修改带来了方便.
二定位与修改要点:1>.首先用特征码定位器大致定位出瑞星内存特征码位置
2>.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是
字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征
码后,只要把字符串的大小写互换就能达到内存免杀效果.
第五部分:木马免杀综合方案
修改内存特征码--->1>入口点加1免杀法---> 1>加压缩壳--->1>再加壳或多重加壳
2>变化入口地址免杀法 2>加生僻壳 2>加壳的伪装.
3>加花指令法免杀法 3>打乱壳的头文件
4>修改文件特征码免杀法
注:这个方案可以任意组合各种不同的免杀方案.并达到各种不同的免杀效果.
第六部分:免杀方案实例演示部分
1.完全免杀方案一灰鸽子VIP2.0)
内存特征码修改 + 加UPX壳 + 秘密行动工具打乱UPX壳的头文件.
2.完全免杀方案二findpass)
内存特征码修改 + 加压缩壳 + 加壳的伪装
3.完全免杀方案三:
内存特征码修改 + 修改各种杀毒软件的文件特征码 + 加压缩壳
4.完全免杀方案四:
内存特征码修改 + 加花指令 + 加压缩壳
5.完全变态免杀方案五:
内存特征码修改 + 加花指令 + 入口点加1 + 加压缩壳UPX + 打乱壳的头文件虽然这篇文章出N久了，但是我感觉很有效！！！


案例
关于鸽子的,大家也不必要按我这个组合去做,可以调换一下顺序].如下:
一、用到的工具：
1:加壳 　　使用 aspack212 　　压缩一次2:加免疫 使用 凌点文件免疫器 做个免疫3:加入口　 使用 入口加一免杀 　加入口一次
4:加密　　 使用 MaskPE 　加密一次
5:加花　　 使用 超级加花免杀器 加花一次
6:加壳　　 使用 北斗3.6 压缩一次
7:加密 使用 使用 vmprotect 加密入口一次
8:加保护　使用 ASProtect 最后操作
二、用到的工具：
1 MaskPE1.8.exe
2 PEditor.exe
3 黑客动画吧加花指令伪装器
4 Private.exe5 北斗4.1破解版
三、用到的工具：
修改入口点
004A1E48 原入口点
00467F7C 新入口点
之后用
maskpe
加2次北斗壳
四、用到的工具
这个免杀分为四步：
1、修改进程过专杀
2、花花添加器2006 加花
3、svkp 加密4、超级加花器v1.2 再加花
五、用到的工具
花指令＋修改文件头
mov edi, edipush ebp
add eax, -1
inc eax
jmp 004A1E49
原入口点：004A1E48
新入口点：00496EAC六、用到的工具
1.Aspack[D] v0.3.exe
2.华夏免疫2.2.exe
3.MaskPE.exe
4.超级加花器v1.1.exe
七、用到的工具
1.入口加1
2.MaskPE2.03.ASPack
4.花蝴蝶第2个花
5.超级加花
6.入口加17.北斗4.1破解版 杀软查查看`好`过了 最后测试上线 OK
八、用到的工具
1.入口加1
2.maskpe
3.北斗4.1破解版
4.vmprotect
5.hmimys-Packer.exe
6.北斗4.1破解版
九、用到的工具
主要用到了3个软件上兴2007的免杀
1.MaskPE
2.花指令添加器
3.ASProtect
先用MaskPE加壳，在用花指令添加器加花，然后用ASProtect保护一下
十、用到的工具
pack4.0
北斗3.7 [两次]
vmprotect
十一、过专杀的方法
Program FilesInternet ExplorerIEXPLORE.EXE
windowssystem32svchost.exetttttttttttttttt
把
IEXPLORE.EXE 换成svchost.exe多的位置补00
svchost.exee
十二、用到的工具
1.MaskPE 这里选最后一个
2.hmimys-Packer
3.凌点文件免疫器 V2.0
4.北斗4.1破解版
5.vmprotect v1.4
--------------------------------------------------------------------------------
工具:MaskPE 堀北压缩 0.28 beta ASProtect 花指令
1.先去头
2.加3区段 3花 乱跳(3个花 随便跳转 .不需要1花 跳 2花 跳 3花 这样)
3.再加maskpe 加section information
4.再用 堀北压缩
5.再 ASProtect 加密壳.
--------------------------------------------------------------------------------
关于免杀世界反毒网所有杀软的思路!
申明:此原创综合了免杀技术各位前辈高手的相关技术.并且本人很懒,坚决反对无休止的定位特征码,定完这个定那个,要定过世界反毒网,估计下辈子不知道是否能行,呵呵废话多了!下面开始思路.
1:生成无壳木马服务端(地球人都知道)
2:去头加花,要求,新建区段,把原入口写入新区段,然后再建区段,再建新头,跳回新区段的老入口,就是头前头,然后老入口不要直接回执行,再跳入空白处再加花指令,然后再回去原执行处,这样就完成了去头加花头前头,头后头,头前头和原头都是新区段,而且不是同区段.
3:再次用软件加密加花,可以多次加,只要程序可以正常运行就行.到这里基本已经过了主流全部国内杀软了,包括瑞内.
4:加壳,不需要加乱七八糟的壳,随便主流压缩壳就行,但是要重复加壳.加完后再把加过壳的程序去头加花头前头,头后头,这样就壳变型了.要注意的是程序可正常执行就可以了.
5:资源重建
6:再次加壳,一般主流压缩壳就行,双壳,注意不要用前面加过的壳就行,乱七八糟的壳别用,用了反而会被杀软杀,不是杀你程序,而是杀壳,不信你试试!
7:再次带壳去头加区段加花,头前头,头后头.
8:资源重建
9:加个普通压缩壳,双壳单壳随便!
10:丢世界反毒网上试试,注意把锁关上,distribute也关上,如果不关等于上报!
--------------------------------------------------------------------------------
鸽子免杀
1.OD工具
DESCRIPTION 一共有3个，修改前2个
PHOTOSHOPKM
HACKER 一共有2个，全部修改
KMBLOG
PACKAGEINFO 一共有1个，全部修改
CCCKMBLOGMM
TMAINFORMVER2 一共有3个，全部修改
FLASHCKMBLOGM
灰鸽子远程控制服务端安装成功 修改
杀毒软件扫描工具程序安装成功
Program FilesInternet ExplorerIEXPLORE.EXE 修改
windowssystem32smssrs.exemmmmmmmmmmmmmmmmm
最后mmmmmmmmmmmmmmmmm用00填充..
2.Restorator.exe 工具修改
3.ASProtect1.aspr2 保护下
4.随便找个鸽子的加花工具 加段花指令
5.免疫007 .exe 免疫下
6.随便找个压缩加壳的工具 处理下给他减下肥....
--------------------------------------------------------------------------------
要用到的工具
1：aspack212
2：MaskPE 2.0最终版
3：prot765
4：北斗4.1破解版
用法：1。先用MASKPE2.0给服务端加密
2.用PROT765给服务端加壳
3.再用ASPACK212给服务端加壳
4.最后用北斗4.1再加一遍壳
--------------------------------------------------------------------------------
1.加壳(单客,多重壳)
2.大小写替换.
3.顺序替换.
4.加花(手工,软件)
5.修改入口点,打乱文件头
6.特征码修改(推荐)
7.删除多余代码(不能乱删)
--------------------------------------------------------------------------------
个人免杀经验心得
方法如下:
过卡巴和江民,加花指令 就过
过瑞星 修改压缩壳就过表面 但是内存还是要用007 或者是用MaskPE过内存
过麦咖啡 就用壳中加花法 就可以过!(不会就去网上找资料)
过金山 表面比较容易 但是金山数据流 麻烦..(下次公布方法)
过专杀,,方法就是:改安装路径 修改插入进程名,不要勾选隐藏进程
过世界反毒网,,方法比较容易, 就是反复的加壳加区加花 过加几次 就过了一大堆世界杀毒软件
--------------------------------------------------------------------------------
1.压缩
2.加密[TELOCK、ASProtect、ACProtect、Morphine、PEspin等]
3.修改特征码[自动、手动]
4.修改入口点法[加区段、修改入口点]
5.花指令[和4差不多，只是稍加点技术]
对付国内的以上5种都有效！
对付内存监控可以用2、3等方法！
对付国外的2、3、4+5有效！
解释一下，为什么以前的加壳工具对卡巴都没效？
卡巴斯基具有极强脱壳引擎，对以知的加壳、加密软件都就有脱壳作用！
你用被杀壳的软件加了N层壳，结果对卡巴来说等于没加壳！
免杀难点——免卡巴：
1.用最新的压缩、加密软件是免杀卡巴最简单的方法！但是不能坚持多久就会被杀！
2.同时使用免杀手段的3+4+5再压缩，自己用的个人版软件几乎永远不被杀
--------------------------------------------------------------------------------
改特征的经验诺顿、麦咖啡特征码位置：
诺顿的： 起始偏移 000B9A4D 偏移大小 00000007
麦咖啡： 只要修改000B28B8处就可完成免杀
先生成一个服务端，接下来用C32ASM打开（用16进制），按Ctrl+G跳到000B9A4D，我们看到了一大段的字符串，这些应该是程序控件名及属性的定义，修改大小写后并不会影响程序的正常执行。选中包含000B9A4D_000B9A54在内的一段，点右键，选择“修改数据”，选择“大小写反转”，最后保存文件，再用诺顿8.0企业版（病毒库都已经更新今天）查杀，通过，测试上线成功。
PS：从网上的资料来看，诺顿的特征码基本上是定位在字符串上，一般修改大小写就可完成免杀。
接下来在刚才修改免杀的基础上，我们再来修改麦咖啡的特征码。
用OC计算文件偏移000B28B8处的内存地址为004B9CB8，用OD加载鸽子服务端，按Ctrl+G跳转到004B9CB8处，看看该处的内容
004B9CB8 4E dec esi
这里是减法运算，我们来看看它附近的汇编代码。
004B9CB0 4E dec esi
004B9CB1 0049 00 add byte ptr ds:[ecx],cl
004B9CB4 43 inc ebx
004B9CB5 004F 00 add byte ptr ds:[edi],cl
004B9CB8 4E dec esi
004B9CB9 0000 add byte ptr ds:[eax],al
各个寄存器相互并不影响，也不存在堆栈和出栈操作，我们要做的是改变004B9CB8处的汇编代码，这样也就改变了特征码，最简单的方法就是将004B9CB8处的代码写到程序后面的0区域，然后用JMP指令来完成跳转。不过这里不需要这么做，如果将004B9CB5和004B9CB8处的代码交换一下，改成如下的形式
004B9CB5 4E dec esi
004B9CB8 004F 00 add byte ptr ds:[edi],cl
很明显原来004B9CB8处的代码换成了004B9CB5处的，而004B9CB5处的则换成了004B9CB8处的代码，交换顺序后，保存文件。用麦咖啡查杀已经通过，测试上线成功。
最后就是用Resource Hacker等资源编辑工具删除hacker资源，将修改后的服务端文件命名为CServer.dat覆盖到鸽子的Cache目录下。
--------------------------------------------------------------------------------
免杀经验:
1.加区,加花后,再加密,可以比较容易过卡巴----如加密工具vmprotect
脱壳过的木马---加花指令,或加区加花---加密---加压缩壳---再加区加花指令
2.单单加免杀花指令已经不能过卡巴,一定要配合加免花后在加压缩壳,才能起到免杀卡巴的效果.
vmprotect加密----再加花-----可过卡巴:
3.加双层花指令免杀法----免卡巴
4.加密---007内存免----加压 ---免卡巴或内存.
5.双层加密(maskpE)---加压 ----可过卡巴.
6.maskpe加密---asppack加壳 ---改入口点加1---可过卡巴
7.加密maskpe----加花或加区加花(用工具)-----加压缩壳---免卡巴
8.北斗对黑防鸽子可加压二次,再压其它压缩壳.以达免杀.
9.加过北斗壳,上向拉滚开鼠标50多次,有一段空代码,可以加花,转移.
10.去头转移入口点---加花----加密(vmprotect) ----加压缩==过所有杀毒
11.对付卡巴,加免杀花指令.花指令对瑞星表面查杀一般无效,一般加压缩壳.
12.对付瑞星表面: 有些黑软,加区,加花后被瑞星表面杀,可以这样:先加压过瑞星表面,然后加免杀花指令,过卡巴.
13.过瑞星表面的查杀方法:
a.加北斗内存免杀压缩壳
b.加过瑞星表面的专用加密工具.
c.用maskPE加密工具加密.PS:用了PEditor本来不杀的马却被杀，不过删掉xx汉化，咔吧不杀了.