输入表免杀方法

最新推荐文章于 2024-08-14 14:19:06 发布
最新推荐文章于 2024-08-14 14:19:06 发布
阅读量1.4k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/charge_release/article/details/80612116
版权

文章摘抄 http://www.weixianmanbu.com/article/1523.html

一、输入表函数移位法

这是最早也是比较简单的输人表免杀方法了,虽然效果已经不像当年那么好了,但却是学习免杀过程必须要掌握的基础知识。我们使用C32打开一个EXE文件,找到输入表段,找到我们定位出的特征输入表,比如ShellExecuteA就是,我们将其使用OO填充,然后在附近找到一片空白区域,将刚才找到的代码再粘贴到空白区域中,并记下新函数的地址,ShellExecuteA字符串最前面的那个“S”的地址减2,即00078925,这样就实现了转移,但是要想让程序知道我们转移的函数,我们还得告诉输入表,刚才那个地址是文件偏移地址,但不是内存地址,我们需要利用OC计算出新的输入表函数ShellExecuteA的内存位置,并在LoadPE中修改才行。

二、DLL函数名空格和NOP法

这个方法很简单,使用C32打开文件,找到特征输入表函数,在函数的尾部,原来的十六进制是00,我们将其改成20或者90(也就是NOP)。以前这种方法对于NOD32是非常有效的,但是新版的NOD32出来后,这种方法就基本失效了,不过用来对付其它的杀毒软件,还是有一定效果的。

三、修改OriginalFirstThunk、日期时间标志、FarwarderChain

这个方法不知道是哪个牛人发现的,可以说是曾经一度秒杀国外杀毒软件的巨好方法啊!使用LoadPE打开你的PE文件,展开输入表,找到特征输入表函数所在的Dll文件名,点击右键选择菜单中的“编辑”,在弹出的对话框中我们会看到有很多属性值,我们主要修改OriginalFirstThunk、日期时间标志、ForwarderChain这三项(默认情况下都是0),将这些值改成某一个值就行了,比如EEEEEEEE。修改完毕后会出现FirstThunk指针的错误,这对于我们木马的运行基本上不会有什么影响,但是也会出现经过这样修改后,木马无法运行或者功能上有损伤的情况,所以大家在修改后一定要仔细测试。

四、手工重建输入表

关于输入表的重建,我想大家都非常熟悉了吧,这算是比较复杂的一种方法了,不过免杀效果非常好,这也是必须要掌握的方法哦!这个方法其实就是添加一个新区段,再把原来的输入表移到我们新建的区段上,重建主要是针对杀毒软件定位到大片输入表函数。

首先我们使用LoadPE记录下PE文件的输入表RVA值(00131304)和输入表大小(00000IFC),然后将文件载人到OD中,载入之后最小化OD,打开lmportREC,在“选择一个使用中的进程”中选择我们的PE进程,然后在“RVA”和“大小”中填入刚才使用LoadPE记录下的数据,点击“获得输入信息”,再点击右侧的“显示无效的”按钮。

接下来我们要做的就是删除正确性为假的函数指针,在深灰色区域中点鼠标右击,在菜单接择“删除指针数据”即可,最后我们再点击“修复抓取文件”,选择那个PE文件。关闭所有的工具,此时我们会发现多出了一个文件,这个就是我们处理后得到的文件了。最后的工作就是把我们重建过的PE文件载人到C32中,将原来的输入表函数(从第一个DLL文件名到最后一个输入表函数)全部用00或者90填充掉就行了。

五、DLL文件名修改法

这个方法也非常奇妙,是不久前流行的一种方法,既实用也很简单。我们先使用C32找到输入表的函数名所对应的DLL文件名,假设这里的特征输入表函数是URLDownloadToFileA,它对应的DLL就应该是上面那个最近的URLMON.DLL,于是我们将URLMON.DLL更改成ABCDEF.DLL,字符串长度要保持一致,都要大写。然后保存,显然程序会因为找不到ABCDEF.DLL这个DLL文件而无法运行,所以我们还得在系统中搜索出URLMON.DLL,发现其位于c:\windows\system32目录下,将它复制出来,改名为ABCDEF.DLL,和你的PE文件存放在一起,这样我们的PE文件就可以运行了。应用在木马上,我们可以制作一个WinRAR自解压文件,将它们放在一起就行了,这个方法可以过很多高启发杀毒软件。

六、输入表函数对调法

这个方法的原理就是将输入表函数名长度相同的函数在C32中进行对调,只有长度一样才不会出错,然后在LoadPE中做相应的修改即可。比如被查杀的函数是OpenFileA,存在于A.dll文件中,我们在b.dll中找到了一个GetATimeA函数,这两个函数名称长度一样,我们在C32中做了静态对换之后,还要将它们的RVA进行对换,操作很简单的,我就不演示了。

七、其它方法

主流的方法就这大家介绍到这儿,当然方法并不止以上几种,而且大牛们也在不断的创新中,还有一些偏深偏难的方法,包括:SEH结构化异常处理,输入表函数加密,隐藏法等等,这些方法需要很强的汇编能力才行,目前还不适合免杀初学者们,不过高手们也制作了很多输入表加密软件,采用的免杀方法就是加密输入表。

听风说旧人
关注
PE文件隐藏输入函数
司徒荆的博客
06-20 524
1、输入隐藏的作用,就是让所有的PE查看器找都不到该函数。 2、示例: (1)、编写代码,并编译: #include "stdafx.h" int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmd...
输入免杀大全
12-11
输入免杀大全
针对〖输入〗的免杀方法
lionzl的专栏
04-15 1185
针对〖输入〗的免杀方法输入现在很多杀毒软件把木马的特征码定位在程序的输入,代:NOD32,瑞星。以黑仿鸽子为例 瑞星有两处内存特征码定位在输入上,那么我们应该怎样修改呢? 修改输入是今年才被广泛应用的新技术,我知道的修改输入方法有4种。 1, 移位法。    用到的工具是C32,和LORDPE。   这个很简单,就是移动特征码的位置,但是从
【网络安全】简单的免杀方法(非常详细)零基础入门到精通,收藏这一篇就够了
Button12138的博客
07-23 749
小七免杀工具包里有很多的工具我就列出其中的一些常用的排名不分前后1、mycclMyccl作为05出品的一款定位工具,到现在还是独领风骚,实用性五星,稳定性五星。2、C32asm一款非常好的静态反汇编工具一般人免杀定位出特征码后都会先到C32里面去改,如果不行就载入od。当然,源码免杀就直接看定位出的东西在源码所对应的代码修改就ok。3、OD作为一款神器,OD有很多作用,破解,免杀啊,都需要它,做免杀不必要学汇编,通读几遍80×86就差不多了4、LordPE。
输入免杀技术总结
10-16
输入免杀技术是网络安全领域中的一个重要话题,主要用于绕过安全检测系统,使得恶意代码能够逃避检测并执行。这项技术通常被黑客或恶意软件开发者用来提高其攻击的有效性和隐蔽性。下面将对输入免杀技术进行详尽...
360杀毒1.1 的VIP鸽子2010免杀(导入修改)
xianghao欢迎你的光临a
03-31 1023
昨天遇到个丢人的事儿,导入免杀居然失败了。。身为黑防的铂金居然这种基础都搞不定后来才发现是自己的失误 OK。由于现在没切图,就随便找个exe做个示范,修改导入  OK。定位在API函数VirtualFree这里,也就是地址00074404这个位置,API函数是不能够修改名称的所以必须使用移位法00074404地址前移2位试试 然后保存运行
输出免杀方法
weixin_33835103的博客
09-07 241
1.输出加密 输入函数加密的方法和加密字符串的方法一样,可以把输出函数当作是字符串来对待 2.输出移位 先把输出函数的名称移位,然后改名称RVA的地址为输入函数的新地址就可以了 3.加空函数 用LodePe把输出的“函数数量”和“函数名数量”都加1或更多 4.修改函数指针函数换位 把输出函数的RVA、名称RVA、和函数名都记录下来,然...
c# 编写的一款远控软件 (源码)
03-18
c# 代码编写的远控软件,三是功能不是太完善 里面附加源码。。。。。。。。
移动导入/导入注入(注入导入后EXE无法运行的BUG解决方案)
qq_32067613的博客
12-09 339
除了移动导入和导入注入的基础以外,重要的记录和解决一个bug。
远控免杀专题(29)-C#加载shellcode免杀-5种方式(VT免杀率8-70)
qq_41683305的博客
04-22 4309
0x00 免杀能力一览 几点说明: 1、中标识 √ 说明相应杀毒软件未检测出病毒,也就是代了Bypass。 2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。 3、由于本机测试时只是安装了360全家桶和火绒,所以默认情况下360和火绒杀毒情况指的是静态+动态查杀。360杀毒版本5.0.0.8160(2020...
免杀对抗-C#+go语言-混淆+防反编译+分离
xiaoheizi的博客
09-19 1646
介绍:上传脚本到目标系统时,很容易就会被杀软将脚本反编译检测,所以将脚本使用ConfuserEx项目进行保护,防止杀软反编译检测。命令:msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=监听。命令:go build -ldflags "-s -w -H=windowsgui" 5.go。1.打开工具,将生成的exe程序拖入工具,然后如下图操作。执行文件,上传到目标系统,被火绒杀死。正常上传到目标系统,成功绕过检测。上传到目标系统,执行程序,
免杀方法(七)c#xor加载器
qq_56426046的博客
10-04 834
项目地址https://github.com/antman1p/ShellCodeRunner。c#是很流行的编程语言,也可以用它来做一个加载器运行shellcode,生成出来的。然后打开cmd运行 ShellCodeRunner.exe payload.bin。将这个文件放到源码的Resources里,没有创建Resources目录。打开cb选择raw生成二进制payload.bin。将生成好的payload放到debug目录下。文件特别的小,可以很好的投递传输。生成了新的二进制文件。
WEB渗透免杀篇-C#源码免杀
最新发布
qq_59468567的博客
08-14 267
Payload粘贴到InstallUtil-Shellcode.cs中使用csc编译。生成payload MSF监听需设置自动迁移进程。生成payload MSF监听需设置自动迁移进程。生成payload MSF监听需设置自动迁移进程。MSF启动监听 Payload粘贴到位置。粘贴payload后编译加密。与上文xor加密类似。
TideSec远控免杀学习一(免杀基础+msfvenom隐藏的参数)
fa1lr4in的小博客
02-08 2761
参考链接:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg 参考资料 免杀技术有一套:https://anhkgg.com/aanti-virus/ Meterpreter免杀及对抗分析:https://www.freebuf.com/sectool/157122.html 免杀艺术:https://www.4hou.com/technol...
exe文件,后门免杀的制作学习笔记
我的学习笔记
02-28 3253
引用原文!!注:本文技术非原创,转载请直接对原文转载,请不要对本文打赏等,本文为学习笔记,禁止由本文产生任何盈利行为。需要(Framework),一般Windows环境都有,C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\csc.exemsfvenom -p windows/meterpreter/revers...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值