小紅傘和NOD32的殺毒引擎是非常厲害的，尤其是他們的啟發(fā)式殺毒，簡直快把病毒木馬逼到了絕路。由于需要，這兩天我和CG（一個高手）對一個遠控軟件進行了小紅傘和NOD32的免殺。一開始很自然的拿出CCL對PE文件的病毒特征碼進行定位，但是卻定位到了導(dǎo)入表和PE文件頭上（這兩款殺毒軟件的確太狠了）。沒有辦法，常規(guī)的修改指令的方法是行不通了。GOOGLE了一下，發(fā)現(xiàn)網(wǎng)上有利用重構(gòu)導(dǎo)入表的方法來做小紅傘和NOD32的免殺。但這需要對PE文件有很深的了解，還要有足夠的時間。呵呵，恰好這兩點我都不具備。但幸運的是——咱有源代碼。 ? ?我想有源代碼得情況下進行殺軟的免殺是一件很easy的事情，但其實不是這么簡單。我和CG的做法是對函數(shù)進行注釋屏蔽，然后交給殺軟查殺，如果不查殺被注釋的函數(shù)被殺軟定位了。首先，進入入口函數(shù)逐個屏蔽，找到問題函數(shù)，再進入到函數(shù)中去把其子函數(shù)這個屏蔽，這樣遞歸屏蔽下去。（在這個過程中，我喜歡深度優(yōu)先進行函數(shù)屏蔽，而CG喜歡廣度優(yōu)先，其實兩種方法效率都差不多。都純屬示體力活）。

? ? ? ? ?最終，我們可以找到殺毒軟件盯上的API函數(shù)（這些函數(shù)往往是一些敏感函數(shù)，如CreateRemoteThread，VirtualAllocEx這樣的函數(shù)）。 ??

? ? ? ?接下來，就是對API函數(shù)進行替換。替換有四種方法： ??

? ? ? ?1．GetProcAddress的方法，即動態(tài)導(dǎo)入函數(shù)地址的方法。 ?

? ? ? ?2．同功能函數(shù)替換。有許多函數(shù)功能是相似的，比如GetSystemDirectory函數(shù)可以用DoEnvironmentSubst來進行替換，strcpy可以用memcpy替換。 ??

? ? ? ?3．用Shellcode實現(xiàn)GetProcAddress。 ? 小紅傘和NOD32的啟發(fā)式殺毒有時候連動態(tài)導(dǎo)入函數(shù)這種方法都可以進行定位。只要用GetProcAddress來獲取那個API的地址就被殺，而且這個時候又沒有可以替換的其他函數(shù)，所以要用shellcode的方法來實現(xiàn)GetProcAddress ??

? ? ?4．內(nèi)聯(lián)函數(shù)替換。 ? 一些較簡單的函數(shù)如果被殺，就可以采用這種方法。 ? ??

? ? ? ?積累的經(jīng)驗總結(jié)： ??

? ? ? 1．在編寫遠控軟件這種程序時，起初設(shè)計就應(yīng)該將敏感的API用動態(tài)導(dǎo)入的方法進行獲取。這樣，就不容易被殺毒軟件抓到特征碼。 ??

? ? ? 2．動態(tài)導(dǎo)入函數(shù)地址的時候可以對函數(shù)名進行加密。 ? ?

? ? ? 3．進行函數(shù)替換后最好能進行一下測試。全都替換后再進行測試如果遇到程序錯誤往往很難定位錯誤點。

總結(jié)

以上是生活随笔為你收集整理的小红伞和NOD32基于源码的免杀经验总结的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。