LV. 47
GP 1k

【問題】楓 - 為什麼防毒程式殺不掉、查不到?免殺解密(一)

樓主 幽楓 b1356788
GP1 BP-
前言:
大家好...有點緊張,畢竟是這種話題。這篇文章今天不要要宣揚什麼,只是要讓您了解一些事實,僅此而已。

正文:
什麼是免殺?
簡而言之就是讓木馬免除防毒程式的查殺,相信這點在當今猖獗的木馬大家已經有目共睹了。使用一些編輯工具比如說:OllyDbg、PEditor、C32ASM 、MYCCL這些特徵碼編輯工具達到免殺的效果,當然還有一些加殼、加花工具。但是根據自己的經驗告訴我這些工具單一使用,效果幾乎不彰,幾乎只能過幾個防毒殺軟,被其他家防毒查殺的機率是很高的!要將這些工具綜合起來使用,效果才可達70-80%。而且過重點防毒殺軟,以下我針對一般人常常使用的重點防毒殺軟卡巴、NOD32、AVAST、NORTON、F-fecure、AVG來製做免殺馬。
接著,就使用灰鴿子來當作免殺的測試木馬。

測試:





常見的免殺方式誠如上面提到的工具,大致上就是基於:
NOP、JMP跳轉法(編輯碼修改)
00位移、1+1、大小寫異同(改變特徵)
變更入口特徵(PE編輯)
加花(加入垃圾碼混淆增加辨識困難)



當然事後要+殼也是可以的,但現在防毒殺軟似乎即使查到還是會跳出poly之類警告字樣。(每家查到殼的警告方式可能有異同)也有可能將木馬給改壞掉...或著是讓防毒程式掃到當機、卡住。(這種經驗大家應該有碰過,估計是調配錯誤的木馬)

接著,加密、加花、壓縮好將改掉入口點這樣就已經完成一半的免殺了。



再來,




完成...
來給VirusTotal測試。
http://www.virustotal.com/zh-tw/
孑然一變,過了重點的卡巴斯基和NOD32以及AVAST,其他二項我失敗了。
大家比照參考前面的預設值掃描。
簡單的免殺已經將可疑率降到34%了。
http://www.virustotal.com/zh-tw/analisis/9e89abfbc316731870d39b79f60b935b



接下來看您要不要綑綁物件,比如說某些CRACK/HACK過的程式,用iexpress去綁定安裝。不過有點奇怪的是幾乎都會被防毒測出感染的WINDOWS文件,這點我不太清楚位什麼會這樣,可能是跟我綁定東西種類的關係,具體的其他軟體綁定我就不測了。




結論:
將免殺木馬下載下來未必會被查殺,因為尚未運行!所以沒事,但是有可能運行之後就馬上就被防毒殺軟的主動防禦察覺竄改註冊表、應用程式,甚至是運作記憶體中等等的行為而被查殺。所以至少防護軟體的3D還是可以抵禦住最後一道防禦,這是目前免殺技術的缺陷,不具有這些主動防禦的防毒殺軟在這點是致命的弱點(常見於一般免費版本的防毒殺軟)
1
-
未登入的勇者,要加入討論嗎?
板務人員:

1318 筆精華,06/25 更新
一個月內新增 1
歡迎加入共同維護。


face基於日前微軟官方表示 Internet Explorer 不再支援新的網路標準,可能無法使用新的應用程式來呈現網站內容,在瀏覽器支援度及網站安全性的雙重考量下,為了讓巴友們有更好的使用體驗,巴哈姆特即將於 2019年9月2日 停止支援 Internet Explorer 瀏覽器的頁面呈現和功能。
屆時建議您使用下述瀏覽器來瀏覽巴哈姆特:
。Google Chrome(推薦)
。Mozilla Firefox
。Microsoft Edge(Windows10以上的作業系統版本才可使用)

face我們了解您不想看到廣告的心情⋯ 若您願意支持巴哈姆特永續經營,請將 gamer.com.tw 加入廣告阻擋工具的白名單中,謝謝 !【教學】