如何應對木馬
這篇是小編特地為大家整理的,希望對大家有所幫助!
第一部分:對國內外防毒軟體分析
在講定位記憶體特徵碼前,先要分析國內外著名防毒軟體的記憶體查殺特點。大家在使用木馬過程都會發現,記憶體查殺,一般都指得被瑞星的記憶體查殺。瑞星的記憶體查殺功能是同類防毒軟體中最強的一款防毒軟體。像強悍的卡巴,金山,等等它們的記憶體查殺意義不大,會製作免殺木馬的人都知道,像這類防毒軟體,只要檔案免殺,記憶體也就免殺了.還有江民也有記憶體查殺功能,但記憶體查殺功能比較弱.只針對影響力非常大的病毒程式.一般的黑客軟體都沒有提取記憶體特徵碼.
第二部分:木馬免殺的對策
一. 要使一個木馬免殺,首先要準備一個不加殼的木馬,這點非常重要,否則下面的免殺操作就不能進行下去。
二.然後我們要木馬的記憶體免殺,從上面分析可以看出,目前的記憶體查殺,只有瑞星最強,其它防毒軟體記憶體查殺現在還不起作用所以我們只針對瑞星的記憶體查殺,要進行記憶體特徵碼的定位和修改,才能記憶體免殺。
二.對符其它的防毒軟體,比如江民,金山,諾頓,卡巴.我們可以採用下面的方法,或這些方面的組合使用.
1>.***點加1免殺法.
2>.變化***地址免殺法
3>.加花指令法免殺法
4>.加殼或加偽裝殼免殺法.
5>.打亂殼的標頭檔案免殺法.
6>.修改檔案特徵碼免殺法.
第三部分:免殺技術例項演示部分
一.***點加1免殺法:
1.用到工具:PEditor
2.特點:非常簡單實用,但有時還會被卡巴查殺.
3.操作要點:用PEditor開啟無殼木馬程式,把原***點加1即可.
二.變化***地址免殺法:
1.用到工具:OllyDbg,PEditor
2.特點:操作也比較容易,而且免殺效果比***點加1點要佳.
3.操作要點:用OD載入無殼的木馬程式,把***點的前二句移到零區域去執行,然後又跳回到***點的下面第三句繼續執行.最後用PEditor把***點改成零區域的地址.
三.加花指令法免殺法:
1.用到工具:OllyDbg,PEditor
2.特點:免殺通用性非常好,加了花指令後,就基本達到大量防毒軟體的免殺.
3.操作要點:用OD開啟無殼的木馬程式,找到零區域,把我們準備好的花指令填進去填好後又跳回到***點,儲存好後,再用PEditor把***點改成零區域處填入花指令的著地址.
四.加殼或加偽裝殼免殺法:
1.用到工具:一些冷門殼,或加偽裝殼的工具,比如木馬綵衣等.
2.特點:操作簡單化,但免殺的時間不長,可能很快被殺,也很難躲過卡巴的追殺.
3.操作要點:為了達到更好的免殺效果可採用多重加殼,或加了殼後在加偽裝殼的免殺效果更佳.
五.打亂殼的標頭檔案或殼中加花免殺法:
1.用到工具:祕密行動 ,UPX加殼工具.
2.特點:操作也是傻瓜化,免殺效果也正當不錯,特別對卡巴的免殺效果非常好.
3.操作要點:首先一定要把沒加過殼的木馬程式用UPX加層殼,然後用祕密行動這款工具中的SCramble功能進行把UPX殼的標頭檔案打亂,從而達到免殺效果.
六.修改檔案特徵碼免殺法:
1.用到工具:特徵碼******,OllyDbg
2.特點:操作較複雜,要定位修改一系列過程,而且只針對每種防毒軟體的免殺,要達到多種防毒軟體的免殺,必需修改各種防毒軟體的特徵碼.但免殺效果好.
3.操作要點:對某種防毒軟體的特徵碼的定位到修改一系列慢長過程.
第四部分:快速定位與修改瑞星記憶體特徵碼
一. 瑞星記憶體特徵碼特點:由於技術原因,目前瑞星的記憶體特徵碼在90%以上把字串作為病毒特徵碼,這樣對我們的定位和修改帶來了方便.
二定位與修改要點:1>.首先用特徵碼******大致定位出瑞星記憶體特徵碼位置2>.然後用UE開啟,找到這個大致位置,看看,哪些方面對應的是字串,用0替換後再用記憶體查殺進行查殺.直到找到記憶體特徵碼後,只要把字串的大小寫互換就能達到記憶體免殺效果.
第五部分:免殺方案例項演示部分
1.完全免殺方案一:記憶體特徵碼修改 + 加UPX殼 + 祕密行動工具打亂UPX殼的標頭檔案.
2.完全免殺方案二:記憶體特徵碼修改 + 加壓縮殼 + 加殼的偽裝
3.完全免殺方案三:記憶體特徵碼修改 + 修改各種防毒軟體的檔案特徵碼 + 加壓縮殼
4.完全免殺方案四:記憶體特徵碼修改 + 加花指令 + 加壓殼
5.完全變態免殺方案五:記憶體特徵碼修改 + 加花指令 + ***點加1 + 加壓縮殼UPX + 打亂殼的標頭檔案
還有其它免殺方案可任意組合.達到更好的免殺效果.
以上就是網帶給大家不一樣的精彩。想要了解更多精彩的朋友可以持續關注網,我們將會為你奉上最全最新鮮的內容哦! ,因你而精彩。希望會對你有所幫助,想了解更多資訊,就請繼續***的。