LV. 47
GP 2k

【問題】楓 - 為什麼防毒程式殺不掉、查不到?免殺解密(三)

樓主 幽楓 b1356788
GP2 BP-

前言:
嗯...這是第三部,差不多已經把我所了解的免殺講了六成了。當然前輩、高手的腳步總是讓我感到望塵莫及。知道越多,越覺得可怕,有時候感覺迷失方向了...(走火入魔?)高精度的病毒免殺不斷被調試出來,最近也看到一些先進前輩在修改並突破各家防毒的主動防禦的免殺了,穿透力高達90%以上...

正文:
今天換到C32ASM、 MYCCL之類特徵碼彙編工具,初次接觸感覺非常像修改遊戲的內存位置...不太難...
大部分的防毒殺軟都是這樣搞的,分作內存(記憶體)查殺、文件查殺、主動防禦、啟發式偵測、行為查殺等等。這類防毒軟體個人是沒什麼興趣研究了... 大概知道它們怎抓就好了。免殺最終目的就是不被查殺、可以順利執行即可...

根據前輩的線上視頻教學,防毒殺軟都會去查可疑文件的特徵碼、內存行為進行和自己的資料庫做比對,如果符合就判斷為木馬、病毒。反正特徵碼都是一堆ASCII...只要被病毒資料庫定義,以後碰到類似的文件就會被當成病毒。

呃...用文字不好說明,我畫個圖好了。

假設11是有內容的ASCII碼,00是無作用的,AA、BB、CC假設是被定義為有害的。
那麼病毒資料庫可能會長這樣:
 

00 00 00 00 00
00 00 00 00 AA
11 11 BB 11 11
CC 11 00 00 11
11 11 00 00 11


假設今天我把AA、BB、CC給改掉呢?不就跟病毒資料庫不符合了嗎?那麼,防毒殺軟將不再判定這個文件為木馬、病毒,但實質上它還是木馬、病毒。
比如說:

00 00 00 00 00
00 00 00 00 AD
11 11 BD 11 11
CD 11 00 00 11
11 11 00 00 11

前提是要再不破壞該木馬正常運行的狀態下...可以改完之後用ollydbg嘗試重新調試開啟。打得開通常是沒問題的。



圖片演示使用的灰鴿子。
比如下列有些主流的免殺數據
HACKER
(在不改變字節長度的狀態下把他修改,六個字給就給他改六個字)
LOEKIE (這樣改,高興改什麼都可以。)
PACK
WQTW  (依此類推,主流數據這裡就不多談了...)

接著,這次個人全力以赴,將所學一次運用上。
細節繁縟不多談,舉凡加殼、加花、入口修改...(總而言之單一使用效果都不好)


接著,生成,老規矩,放上VT去測試刷毒,效果還是差強人意...程度還是不到家。
F-Secure、紅傘這二個...算了我投降ORZ...過不了。
(看結果,紅傘似乎只查到殼而已)
其他一些個人沒聽過的,這我自己就不清楚...重點主流防毒殺軟有過。
(卡巴、AVAST、AVG、NOD32、F-Secure、諾頓...台灣常見的)
中國的殺軟因為找不到合適的一次ALL IN ONE的線上測試,曉得的請介紹給我...。

檔案 5.exe 接收於 2008.04.10 15:32:05 (CET)

反病毒引擎 版本 最後更新 掃瞄結果
AhnLab-V3 2008.4.10.2 2008.04.10 -
AntiVir 7.6.0.81 2008.04.10 TR/Crypt.ASPM.Gen
Authentium 4.93.8 2008.04.10 -
Avast 4.8.1169.0 2008.04.10 -
AVG 7.5.0.516 2008.04.09 -
BitDefender 7.2 2008.04.10 -
CAT-QuickHeal 9.50 2008.04.10 -
ClamAV 0.92.1 2008.04.10 -
DrWeb 4.44.0.09170 2008.04.10 -
eSafe 7.0.15.0 2008.04.09 -
eTrust-Vet 31.3.5687 2008.04.10 -
Ewido 4.0 2008.04.10 -
F-Prot 4.4.2.54 2008.04.08 W32/Hupigon.G.gen!Eldorado
F-Secure 6.70.13260.0 2008.04.10 Suspicious:W32/Malware!Gemini
FileAdvisor 1 2008.04.10 -
Fortinet 3.14.0.0 2008.04.10 -
Ikarus T3.1.1.26 2008.04.10 Trojan-PWS.Win32.Agent.iu
Kaspersky 7.0.0.125 2008.04.10 -
McAfee 5270 2008.04.09 -
Microsoft 1.3408 2008.04.10 -
NOD32v2 3016 2008.04.10 -
Norman 5.80.02 2008.04.10 -
Panda 9.0.0.4 2008.04.10 -
Prevx1 V2 2008.04.10 -
Rising 20.39.32.00 2008.04.10 -
Sophos 4.28.0 2008.04.10 Sus/ComPack-C
Sunbelt 3.0.1032.0 2008.04.08 VIPRE.Suspicious
Symantec 10 2008.04.10 -
TheHacker 6.2.92.271 2008.04.10 -
VBA32 3.12.6.4 2008.04.06 -
VirusBuster 4.3.26:9 2008.04.09 -
Webwasher-Gateway 6.6.2 2008.04.10 Trojan.Crypt.ASPM.Gen

http://www.virustotal.com/zh-tw/analisis/a9eda78b2a271b2a657bcd6626d9c87f

結論:
只要是一些常見的特徵,似乎都會被定義,修改冷門的往往效果又不彰。較兇一點的通常都是修改入口特徵,比如說卡巴斯基,似乎也不用這麼大費周章,透過JMP指令就可以把它玩得暈頭轉向了...看人怎麼天馬行空的創意了。對於那種會查殼的防毒殺軟就得進行服務進程綁定、dll綁定、要映像劫持也可以這樣即使被查到,也無法對他進行刪除,亦或是透過WINRAR自解.bat破壞防護軟體的主動防禦。
網路的發達,盜版之猖獗,透過載點下載人家私自改好的破解軟體、遊戲,極有可能載到這些東西,我不是再危言聳聽的。

  1. 改個ICON也可以騙過會檢查後輟副檔名的人(我就被騙過...)
  2. 注意字節、檔案大小。
  3. 檢查MD5碼 (有附的話就對照)
  4. 交叉掃描,不要太信任單一的掃描結果。
相關延伸閱讀:
【問題】楓 - 為什麼防毒程式殺不掉、查不到?免殺解密(一)
【問題】楓 - 為什麼防毒程式殺不掉、查不到?免殺解密(二)

參考:
黎昭《精通免殺》nohack出品(頁34-44)
感謝:
hackbase.com的冰蝴蝶、王者彩衣這二位老師諄諄教誨。

2
-
未登入的勇者,要加入討論嗎?
板務人員:

1318 筆精華,06/25 更新
一個月內新增 0
歡迎加入共同維護。


face基於日前微軟官方表示 Internet Explorer 不再支援新的網路標準,可能無法使用新的應用程式來呈現網站內容,在瀏覽器支援度及網站安全性的雙重考量下,為了讓巴友們有更好的使用體驗,巴哈姆特即將於 2019年9月2日 停止支援 Internet Explorer 瀏覽器的頁面呈現和功能。
屆時建議您使用下述瀏覽器來瀏覽巴哈姆特:
。Google Chrome(推薦)
。Mozilla Firefox
。Microsoft Edge(Windows10以上的作業系統版本才可使用)

face我們了解您不想看到廣告的心情⋯ 若您願意支持巴哈姆特永續經營,請將 gamer.com.tw 加入廣告阻擋工具的白名單中,謝謝 !【教學】