免杀的开始:用WinHex逐字节修改木马免杀 -> 到后来软件保护(加壳)的加入、特征码免杀技术的公开、多层加壳的发现、反调试技术、针对于PE文件格式的免杀,到如今盛行的源码免杀。
再看反病毒的历程:从文件扫描技术、到通配符扫描技术、内存特征码扫描技术、虚拟机扫描技术、主动防御、启发式病毒查杀技术、云查杀。
我们不难发现,反病毒与反-反病毒这两项处于对立面的技术慢慢的壮大,并形成了各自所拥有的领域。
但,任何技术都需要一个最简单的东西引领你。
分块个数
体积小于200KB的木马在最开始选择50-100之间.
体积大于200KB的木马在最开始选择10-30之间.
尔后由大到小缩小范围定位。
单位长度
事实上单位长度是由文件大小和分块个数决定。相反,分块个数由文件大小和单位长度决定。单位长度决定了每次填充的区域大小。
计算公式:
文件大小 ÷ 分块个数 == 单位长度
(其它自己推)
填充方式
不仅限于00、20或者90,可以是任意00-FF之间的16进制数值。
相比单一的填充方式,MultiCCL的随机数值填充方式更值得借鉴。
开始位置、结束位置、分段长度
开始位置
决定了从特定的偏移处开始填充,默认情况下在E0处开始填充。有时候杀软会将特征码假定在PE头,因此可以填第一个区段的偏移量,一般第一个区段为.text,起始位置为00000600。
结束位置
一般情况下为文件的末尾。
分段长度
从 开始位置 到 结束位置 所经过的偏移大小。
而某些情况下,若要对某个特定区段进行特征码定位。可以在 开始位置 填入区段的起始位置,在 结束位置 填入区段的结束地址,然后进行常规的定位流程。
正反填充
一般情况下,进行正向填充。若定位时进入死循环或者定位错误,可选择反向定位。
定位精度
个人喜欢定位到4个字节的大小,因为一般特征码大小为4个字节的大小,甚至更大。2个字节大小的特征码许多人修改时在潜意识中会把特征码定义为2个字节,换句话说就是下定决心跟这条特征码干上了。而这样的思维定视会严重影响你的免杀质量和效率,还有心情。
从杀软的角度来看,越小的特征码越容易出现误杀。作为专业的杀毒软件来说,出现误杀的情况是不允许的,当出现这样的情况,会使用户感到困扰和不安。所以他们尽量会选择适当大小的特征码。
MultiCCL(下载地址:http://www.heibai.net/download/Soft/Soft_11281.htm)
由于这款工具功能的强大性和易使用性,这里只对MultiCCL进行一些说明:
MultiCCL定位出特征码的大小是精确的,MyCCL定位精度是由使用者的决定的。而特征码定位长度精确的代价是花费更长的定位时间。(对于这里的定位精确,是指最终定位出的特征码大小,非定位时的定位精度。)
但是回报也是非常可观的,精确的特征码大小告诉了你可以在多大的范围内修改。
若在免杀时遇到疑难特征码、或者在修改多次失败时,可将那段特征码保护起来,再进行定位。有一个例子就是曾经瑞星把特征码定位在了TLS表,当时修改多次出现错误。无奈将TLS保护起来时,重新定位,结果发现了新大陆......
个人习惯把木马的输入表保护起来,再进行定位。
498
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
