作者:冷锋(LengF) –[BHST]
博客:www.81sec.com 时间:2011-5-22
0x00 概述
最近搞一个国外的网站,对方是用的赛门铁克的诺顿杀毒软件,而内网又只对外开放了80端口,于是就想着传个端口转发或者端口复用的工具上去,可是一上传就没了。既然已经提权了,又不想轻易放弃这台服务器。于是就想着怎么办了。自己对非源码的免杀不熟悉,于是就想到自己手头有类似于LCX的工具c源码。对此,翻了以前学习源码免杀的笔记进行了一些总结。很少看到有朋友总结这方面的资料,我就以自己的一些经验总结一些关于源码免杀的一些技巧和方法,在文中我会以一些简单的例子来表达我的思路。为此,我分享我的经验的同时,也希望大家分享自己的免杀思路,毕竟一个人的力量有限,文章中难免有些错误,还望指出。
0x01 基于源码免杀原理
在学习源码免杀原理你要了解下PE结构,懂得如何去分析一个PE的各个部分。我们在源码免杀过程中可能涉及到下面一些情况:
[1]文件头的免杀(这种情况比较少,国外杀软杀的比较比较多);
[2]代码区的免杀(最常见);
[3]字符串的免杀(也很常见);
[4]输入表和输出表的免杀;
[5]版权信息的免杀;
[6]等待你的补充……
在测试免杀的过程中我们经常会用到一些工具,比如:
MyCCL…………..用于定位特征码,应用各种类型特征码定位
C32ASM…………16进制查看和字符串查找,字符串免杀和
Ollydbg…………..反汇编动态调试工具,代码区的免杀
LoadPE…………..查看PE结构信息,段区地址/输入表地址/输出表地址等查询
做好了工具准备,我们以一个测试的VC6.0编译出来为例来描述PE的各种结构,先给出代码:
#include "stdio.h"
void PrintMsg()
{
printf("Hello!LengF.\n");
}
int main()
{
PrintMsg();
getchar();
return 0;
}
Void NOPCode() // 花指令代码
{
__asm
{ // 我以NOP为例,NOP的个数随便,不过建议不要太多
NOP
NOP
NOP
}
}
#include <windows.h>
#include <stdio.h>
void PrintMsg()
{
MessageBox(NULL,”Hello!LengF”,NULL,MB_OK);
}
int main()
{
PrintMsg();
return 0;
}
char StrMsg[]={'H','e','l','l','o','!','L','e','n','g','F','\0'};
MessageBox(NULL,StrMsg,NULL,MB_OK);
char StrMsg[]="FgneL!olleH";
MessageBox(NULL,strrev(StrMsg),NULL,MB_OK);
typedef int (WINAPI *MessageBoxAT)
(
HWND hWnd,
LPCSTR lpText,
LPCSTR lpCaption,
UINT uType
);
void PrintMsg()
{
char StrMsg[]="FgneL!olleH";
MessageBoxAT pMessageBoxA= (MessageBoxAT)GetProcAddress(LoadLibrary("user32.dll"),"MessageBoxA");
pMessageBoxA(NULL,strrev(StrMsg),NULL,MB_OK);
}
#pragma comment( linker, "/subsystem:windows /entry:mainCRTStartup" )
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
