逆流风
注:本文是去年投给黑客X档案的,与那期的主题乐园内容重叠,故未被选上,我也不另投其他杂志,转贴请注明出处,保留版权。
一、加壳免杀
壳按照性质不同可分为压缩壳和加密壳,使用压缩壳压缩过的软件体积会减小很多,我们常用的UPX、ASPACK、FSG就是压缩壳,加密壳是防止软件被破解而加的壳,常见的加密壳有tElock、幻影、ASProtect等。加壳免杀是我们常用的免杀方法,操作简单,但是免杀的时间不长,可能很快就被杀。但是经过加花指令、修改特征码后再加壳,免杀效果就相当好了,所以我们还是有必要了解一下。
实例:用NEW、[MSLRH] v0.31a加壳免杀
NEW是一款俄国人写的具有高压缩率的壳。压缩率高,而且压缩后的程序基本不会被查杀,值得一用。以疯狂qq大盗build0709无壳版为例,使用NEW加壳。文件由原来的800K变成411K。接下来我们再用加密壳[MSLRH] v0.31a来加密疯狂qq大盗build0709无壳版。[MSLRH] v0.31a能伪装成其它壳。先用PEiD查下疯狂qq大盗build0709无壳版,没加壳,用[MSLRH] v0.31a加壳,在“令PEiD(V.93)探测为:随便选一个壳名称,用ASPack吧。加好后文件大小变成872K,再用PEiD探测,变成ASPack了(如图1)。
下面对比一下加壳效果和免杀效果。用瑞星查杀,两个加过壳的疯狂qq大盗都躲过了瑞星的表面查杀而没加壳的瑞星查出来了。(如图2、图3)
二、修改入口点免杀
杀毒软件的杀毒引擎大多以文件的入口处来判断文件是否是病毒或木马。我们通过修改文件的入口点能躲过大部分杀毒软件的查杀。
实例:将疯狂qq大盗build0709无壳版的入口点加1免杀
修改入口点,我们使用的是Peditor。首先,用Peditor打开将疯狂qq大盗build0709无壳版,看左上角文件性息中的入口点,疯狂qq大盗build0709无壳版的入口点是00063DC8,00063DC8+1=00063DC9,将入口点改为00063DC9,再点击“应用更改”,就OK了。(如图4)
用瑞星杀毒检测,瑞星查不出来,而我用了几年的北信源VRV杀毒却查出来了,也说明了北信源VRV杀毒的特征码不在入口处。(如图5)
安全中国首页 > 文章中心 > 技巧知识
