[讨论]对付杀软进绝境了吗？-编程技术-看雪-安全社区|安全招聘|kanxue.com

[讨论]对付杀软进绝境了吗？

发表于: 2009-11-19 10:12 10156

[讨论]对付杀软进绝境了吗？

NNpig

2009-11-19 10:12

10156

最近有个朋友给了个样本让免一下小红伞，好久没有弄了，试验了以前的几种方法：
1、利用SHELLCODE进行输入表加密，杀；
2、各种扭曲变化，花指令，杀；
3、利用加壳，vmprotect、THemida等等，杀；
4、数字签名，杀。
5、作为SHELLCODE被引导执行，杀；
难道真的被逼入绝境了吗？特别有意思的是，建立一个VC WIN32工程，什么代码也不填，只是开一个大数组，试验了下当数组中的数据大于30K的时候就会被小红伞干掉了！小弟才疏学浅，实在还想不出有别的办法。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・2

免费・0

支持

最新回复 (26) 1 2 ▶
chinarenjf 雪币： 6765 活跃值： (3684) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 228 粉丝 0 关注私信	chinarenjf 2 楼先干掉小红伞. 2009-11-19 10:16 0
iwaxy 雪币： 250 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 83 粉丝 0 关注私信	iwaxy 1 3 楼现在的杀软很变态，不过高手们还是有方法的...但是方法一公布也就无效了。所以，还得靠自己琢磨。 2009-11-19 10:17 0
panti 雪币： 1602 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 254 粉丝 0 关注私信	panti 4 楼杀是按什么，你没看它的报法么，报XPACK就按XPACK搞 2009-11-19 10:40 0
kalrey 雪币： 146 活跃值： (33) 能力值： ( LV5，RANK：60 ) 在线值：发帖 28 回帖 171 粉丝 1 关注私信	kalrey 1 5 楼小红伞不报驱动加载，我用的就是小红伞所以驱动下手啊，进R0了想怎么弄就怎么弄 2009-11-19 13:19 0
NNpig 雪币： 196 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 32 粉丝 0 关注私信	NNpig 6 楼搞的实在很不耐烦，想写个壳，不知道还有没有用，希望给指点指点。 2009-11-19 14:16 0
叶xiang 雪币： 445 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 207 粉丝 0 关注私信	叶xiang 7 楼小红伞是很变态的最近卡巴的数字签名策略也改了~。以前的一下就XXX了 2009-11-19 15:46 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 8 楼原始样本传上来看看先。 2009-11-19 16:52 0
popeylj 雪币： 360 活跃值： (77) 能力值： ( LV9，RANK：250 ) 在线值：发帖 133 回帖 865 粉丝 1 关注私信	popeylj 6 9 楼幸亏有数字签名了 2009-11-19 20:00 0
iwaxy 雪币： 250 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 83 粉丝 0 关注私信	iwaxy 1 10 楼数字签名现在也不好使了吧？ 2009-11-19 21:25 0
NNpig 雪币： 196 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 32 粉丝 0 关注私信	NNpig 11 楼传个样本，看谁能整，德国人果然是严密！上传的附件： pack.rar （21.98kb，37次下载） 2009-11-20 10:37 0
bdxuelang 雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	bdxuelang 12 楼这个样本小红伞报的是TR/Crypt.XPACK.Gen 。小红伞对于该特征的识别代码在他的aeheur.dll中 0x1005D71B处，跟一下这段函数就知道了调试的话，先在创建如下一个文件命名为***.avp(文件名你自己写) 该文件内容如下 ######################################################### # $AV$SCANNER$AVP ######################################################### # This file has been created automatically. # DO NOT MODIFY!! ######################################################### [CFG] GuiMode=1 ExitMode=1 DeleteConfig=1 [SEARCH] Parameter=0x00000026 Path0=“你要调试的样本的完整路径” [CONTROLCENTER] ProfileName=Drag&Drop [SCANNER] 直接用OD加载avscan.exe 调试参数设置为 /CFG="上面你创建的那个avp文件的路径" 2009-11-20 16:39 0
streetmao 雪币： 185 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	streetmao 13 楼免杀愁死我了 2009-11-20 16:47 0
飞心男孩雪币： 300 活跃值： (179) 能力值： ( LV7，RANK：100 ) 在线值：发帖 7 回帖 137 粉丝 1 关注私信	飞心男孩 2 14 楼他意思是： A：他有一个被数字签名了的马马 B：他找到了一个有数字签名的傀儡 2009-11-20 16:58 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 15 楼这年头代打签名的公司很多，找个就解决，别用网上那些所谓的签名工具啦（实话说，签名没有免费的） 2009-11-20 22:12 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 16 楼呵呵签名才是王道 2009-11-20 22:19 0
yy大雄雪币： 183 活跃值： (1058) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 332 粉丝 1 关注私信	yy大雄 17 楼还这么试过这么干学习了 2009-11-20 22:25 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 18 楼 12楼看来是行业人.外行人做免杀,大多不入道. 免来免去,却没有意识到,"免杀"第二高境界是熊猫烧香,最高境界是notepad.exe 2009-11-21 10:27 0
bdxuelang 雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	bdxuelang 19 楼呵呵，行业人士算不上，不过曾经看过小红伞而已。其实如果只是简单做免杀的话myccl 或者muticcl就够了。 2009-11-22 13:21 0
NNpig 雪币： 196 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 32 粉丝 0 关注私信	NNpig 20 楼总结一下各位牛人的回复： 1、签名是还是有效的，只不过免费的是不行的，原因不详； 2、利用myccl可以搞定免杀，这个真不知道怎么搞，我对myccl定位出的特征码，进行加密，移位及添加花指令等都无效。 3、利用驱动，关键是对于查静态特征码驱动也使不上力气呀。 4、动态跟杀软，牛！ 5、菜鸟－－牛鸟－－另外能否解释一下："免杀"第二高境界是熊猫烧香,最高境界是notepad.exe ，完全不解其中深意。 2009-11-23 14:12 0
ayunaa 雪币： 18 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 348 粉丝 0 关注私信	ayunaa 21 楼小红伞特别变态 2009-11-23 16:10 0
xiager 雪币： 123 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 84 粉丝 1 关注私信	xiager 1 22 楼干掉小红伞不就完事了，驱动都不拦，直接用PspTerminateProcess搞定 2009-11-26 12:52 0
xiager 雪币： 123 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 84 粉丝 1 关注私信	xiager 1 23 楼静态特征码扫描，最好对付了，把本体加密后作为资源嵌入到另一个exe中，运行的时候，释放资源，解密，shellexecute。 2009-11-26 12:56 0
xfish 雪币： 315 活跃值： (23) 能力值： ( LV9，RANK：220 ) 在线值：发帖 10 回帖 113 粉丝 5 关注私信	xfish 5 24 楼好久没来了......... 大多数av目前判断数字签名是首先通过vm来模拟你的程序行为，如果你的程序行为本身不具备任何危险行为，那么即使没数字签名av也不会有提示的，所以只要我们让他的vm模拟不到危险动作即可 kis 就是这个的典型。如现在的kis 2010，通过anti 机制，不需要数字签名也可以完全bypass..只不过需要动点脑子而已.... 小红伞？呵呵那个dna scan确实很恶心, 对付小红伞部分敏感代码加密，然后解密头增加混淆代码。做到这点还不够,更重要是从文件结构下手.. 其他的杀毒软件, 如趋势。对付它和小红伞的方式差不多，不过过它的行为，得转本做一套机制。至于其余的杀毒软件，没什么可说的，相信各位也没什么问题。。 2009-11-27 09:26 0
NNpig 雪币： 196 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 32 粉丝 0 关注私信	NNpig 25 楼回xiager老兄的话，你没试验过放资源会被直接干掉 2009-11-27 09:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

NNpig

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (26) 1 2 ▶
chinarenjf 雪币： 6765 活跃值： (3684) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 228 粉丝 0 关注私信	chinarenjf 2 楼先干掉小红伞. 2009-11-19 10:16 0
iwaxy 雪币： 250 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 83 粉丝 0 关注私信	iwaxy 1 3 楼现在的杀软很变态，不过高手们还是有方法的...但是方法一公布也就无效了。所以，还得靠自己琢磨。 2009-11-19 10:17 0
panti 雪币： 1602 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 254 粉丝 0 关注私信	panti 4 楼杀是按什么，你没看它的报法么，报XPACK就按XPACK搞 2009-11-19 10:40 0
kalrey 雪币： 146 活跃值： (33) 能力值： ( LV5，RANK：60 ) 在线值：发帖 28 回帖 171 粉丝 1 关注私信	kalrey 1 5 楼小红伞不报驱动加载，我用的就是小红伞所以驱动下手啊，进R0了想怎么弄就怎么弄 2009-11-19 13:19 0
NNpig 雪币： 196 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 32 粉丝 0 关注私信	NNpig 6 楼搞的实在很不耐烦，想写个壳，不知道还有没有用，希望给指点指点。 2009-11-19 14:16 0
叶xiang 雪币： 445 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 207 粉丝 0 关注私信	叶xiang 7 楼小红伞是很变态的最近卡巴的数字签名策略也改了~。以前的一下就XXX了 2009-11-19 15:46 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 8 楼原始样本传上来看看先。 2009-11-19 16:52 0
popeylj 雪币： 360 活跃值： (77) 能力值： ( LV9，RANK：250 ) 在线值：发帖 133 回帖 865 粉丝 1 关注私信	popeylj 6 9 楼幸亏有数字签名了 2009-11-19 20:00 0
iwaxy 雪币： 250 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 83 粉丝 0 关注私信	iwaxy 1 10 楼数字签名现在也不好使了吧？ 2009-11-19 21:25 0
NNpig 雪币： 196 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 32 粉丝 0 关注私信	NNpig 11 楼传个样本，看谁能整，德国人果然是严密！上传的附件： pack.rar （21.98kb，37次下载） 2009-11-20 10:37 0
bdxuelang 雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	bdxuelang 12 楼这个样本小红伞报的是TR/Crypt.XPACK.Gen 。小红伞对于该特征的识别代码在他的aeheur.dll中 0x1005D71B处，跟一下这段函数就知道了调试的话，先在创建如下一个文件命名为***.avp(文件名你自己写) 该文件内容如下 ######################################################### # $AV$SCANNER$AVP ######################################################### # This file has been created automatically. # DO NOT MODIFY!! ######################################################### [CFG] GuiMode=1 ExitMode=1 DeleteConfig=1 [SEARCH] Parameter=0x00000026 Path0=“你要调试的样本的完整路径” [CONTROLCENTER] ProfileName=Drag&Drop [SCANNER] 直接用OD加载avscan.exe 调试参数设置为 /CFG="上面你创建的那个avp文件的路径" 2009-11-20 16:39 0
streetmao 雪币： 185 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	streetmao 13 楼免杀愁死我了 2009-11-20 16:47 0
飞心男孩雪币： 300 活跃值： (179) 能力值： ( LV7，RANK：100 ) 在线值：发帖 7 回帖 137 粉丝 1 关注私信	飞心男孩 2 14 楼他意思是： A：他有一个被数字签名了的马马 B：他找到了一个有数字签名的傀儡 2009-11-20 16:58 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 15 楼这年头代打签名的公司很多，找个就解决，别用网上那些所谓的签名工具啦（实话说，签名没有免费的） 2009-11-20 22:12 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 16 楼呵呵签名才是王道 2009-11-20 22:19 0
yy大雄雪币： 183 活跃值： (1058) 能力值： ( LV3，RANK：30 ) 在线值：发帖 22 回帖 332 粉丝 1 关注私信	yy大雄 17 楼还这么试过这么干学习了 2009-11-20 22:25 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 18 楼 12楼看来是行业人.外行人做免杀,大多不入道. 免来免去,却没有意识到,"免杀"第二高境界是熊猫烧香,最高境界是notepad.exe 2009-11-21 10:27 0
bdxuelang 雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	bdxuelang 19 楼呵呵，行业人士算不上，不过曾经看过小红伞而已。其实如果只是简单做免杀的话myccl 或者muticcl就够了。 2009-11-22 13:21 0
NNpig 雪币： 196 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 32 粉丝 0 关注私信	NNpig 20 楼总结一下各位牛人的回复： 1、签名是还是有效的，只不过免费的是不行的，原因不详； 2、利用myccl可以搞定免杀，这个真不知道怎么搞，我对myccl定位出的特征码，进行加密，移位及添加花指令等都无效。 3、利用驱动，关键是对于查静态特征码驱动也使不上力气呀。 4、动态跟杀软，牛！ 5、菜鸟－－牛鸟－－另外能否解释一下："免杀"第二高境界是熊猫烧香,最高境界是notepad.exe ，完全不解其中深意。 2009-11-23 14:12 0
ayunaa 雪币： 18 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 348 粉丝 0 关注私信	ayunaa 21 楼小红伞特别变态 2009-11-23 16:10 0
xiager 雪币： 123 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 84 粉丝 1 关注私信	xiager 1 22 楼干掉小红伞不就完事了，驱动都不拦，直接用PspTerminateProcess搞定 2009-11-26 12:52 0
xiager 雪币： 123 活跃值： (27) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 84 粉丝 1 关注私信	xiager 1 23 楼静态特征码扫描，最好对付了，把本体加密后作为资源嵌入到另一个exe中，运行的时候，释放资源，解密，shellexecute。 2009-11-26 12:56 0
xfish 雪币： 315 活跃值： (23) 能力值： ( LV9，RANK：220 ) 在线值：发帖 10 回帖 113 粉丝 5 关注私信	xfish 5 24 楼好久没来了......... 大多数av目前判断数字签名是首先通过vm来模拟你的程序行为，如果你的程序行为本身不具备任何危险行为，那么即使没数字签名av也不会有提示的，所以只要我们让他的vm模拟不到危险动作即可 kis 就是这个的典型。如现在的kis 2010，通过anti 机制，不需要数字签名也可以完全bypass..只不过需要动点脑子而已.... 小红伞？呵呵那个dna scan确实很恶心, 对付小红伞部分敏感代码加密，然后解密头增加混淆代码。做到这点还不够,更重要是从文件结构下手.. 其他的杀毒软件, 如趋势。对付它和小红伞的方式差不多，不过过它的行为，得转本做一套机制。至于其余的杀毒软件，没什么可说的，相信各位也没什么问题。。 2009-11-27 09:26 0
NNpig 雪币： 196 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 32 粉丝 0 关注私信	NNpig 25 楼回xiager老兄的话，你没试验过放资源会被直接干掉 2009-11-27 09:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复