输入表免杀方法

文章摘抄 http://www.weixianmanbu.com/article/1523.html

一、输入表函数移位法

这是最早也是比较简单的输人表免杀方法了,虽然效果已经不像当年那么好了,但却是学习免杀过程必须要掌握的基础知识。我们使用C32打开一个EXE文件,找到输入表段,找到我们定位出的特征输入表,比如ShellExecuteA就是,我们将其使用OO填充,然后在附近找到一片空白区域,将刚才找到的代码再粘贴到空白区域中,并记下新函数的地址,ShellExecuteA字符串最前面的那个“S”的地址减2,即00078925,这样就实现了转移,但是要想让程序知道我们转移的函数,我们还得告诉输入表,刚才那个地址是文件偏移地址,但不是内存地址,我们需要利用OC计算出新的输入表函数ShellExecuteA的内存位置,并在LoadPE中修改才行。

二、DLL函数名空格和NOP法

这个方法很简单,使用C32打开文件,找到特征输入表函数,在函数的尾部,原来的十六进制是00,我们将其改成20或者90(也就是NOP)。以前这种方法对于NOD32是非常有效的,但是新版的NOD32出来后,这种方法就基本失效了,不过用来对付其它的杀毒软件,还是有一定效果的。

三、修改OriginalFirstThunk、日期时间标志、FarwarderChain

这个方法不知道是哪个牛人发现的,可以说是曾经一度秒杀国外杀毒软件的巨好方法啊!使用LoadPE打开你的PE文件,展开输入表,找到特征输入表函数所在的Dll文件名,点击右键选择菜单中的“编辑”,在弹出的对话框中我们会看到有很多属性值,我们主要修改OriginalFirstThunk、日期时间标志、ForwarderChain这三项(默认情况下都是0),将这些值改成某一个值就行了,比如EEEEEEEE。修改完毕后会出现FirstThunk指针的错误,这对于我们木马的运行基本上不会有什么影响,但是也会出现经过这样修改后,木马无法运行或者功能上有损伤的情况,所以大家在修改后一定要仔细测试。

四、手工重建输入表

关于输入表的重建,我想大家都非常熟悉了吧,这算是比较复杂的一种方法了,不过免杀效果非常好,这也是必须要掌握的方法哦!这个方法其实就是添加一个新区段,再把原来的输入表移到我们新建的区段上,重建主要是针对杀毒软件定位到大片输入表函数。

首先我们使用LoadPE记录下PE文件的输入表RVA值(00131304)和输入表大小(00000IFC),然后将文件载人到OD中,载入之后最小化OD,打开lmportREC,在“选择一个使用中的进程”中选择我们的PE进程,然后在“RVA”和“大小”中填入刚才使用LoadPE记录下的数据,点击“获得输入信息”,再点击右侧的“显示无效的”按钮。

接下来我们要做的就是删除正确性为假的函数指针,在深灰色区域中点鼠标右击,在菜单接择“删除指针数据”即可,最后我们再点击“修复抓取文件”,选择那个PE文件。关闭所有的工具,此时我们会发现多出了一个文件,这个就是我们处理后得到的文件了。最后的工作就是把我们重建过的PE文件载人到C32中,将原来的输入表函数(从第一个DLL文件名到最后一个输入表函数)全部用00或者90填充掉就行了。

五、DLL文件名修改法

这个方法也非常奇妙,是不久前流行的一种方法,既实用也很简单。我们先使用C32找到输入表的函数名所对应的DLL文件名,假设这里的特征输入表函数是URLDownloadToFileA,它对应的DLL就应该是上面那个最近的URLMON.DLL,于是我们将URLMON.DLL更改成ABCDEF.DLL,字符串长度要保持一致,都要大写。然后保存,显然程序会因为找不到ABCDEF.DLL这个DLL文件而无法运行,所以我们还得在系统中搜索出URLMON.DLL,发现其位于c:\windows\system32目录下,将它复制出来,改名为ABCDEF.DLL,和你的PE文件存放在一起,这样我们的PE文件就可以运行了。应用在木马上,我们可以制作一个WinRAR自解压文件,将它们放在一起就行了,这个方法可以过很多高启发杀毒软件。

六、输入表函数对调法

这个方法的原理就是将输入表函数名长度相同的函数在C32中进行对调,只有长度一样才不会出错,然后在LoadPE中做相应的修改即可。比如被查杀的函数是OpenFileA,存在于A.dll文件中,我们在b.dll中找到了一个GetATimeA函数,这两个函数名称长度一样,我们在C32中做了静态对换之后,还要将它们的RVA进行对换,操作很简单的,我就不演示了。

七、其它方法

主流的方法就这大家介绍到这儿,当然方法并不止以上几种,而且大牛们也在不断的创新中,还有一些偏深偏难的方法,包括:SEH结构化异常处理,输入表函数加密,隐藏法等等,这些方法需要很强的汇编能力才行,目前还不适合免杀初学者们,不过高手们也制作了很多输入表加密软件,采用的免杀方法就是加密输入表。

你可能感兴趣的:(输入表免杀方法)