恶意软件逃过杀毒软件检测称为:免杀
什么是免杀>>:点击查看
本期来对后门.exe:进行免杀
- 免杀方法:特征码
- 杀毒软件:火绒
- 所需工具:WinHEX,特征码定位器
什么是特征码>>点击查看
简单点说:一个木马程序有固定得函数入口,或者调用函数 比如Main
假设Main为该木马某个功能函数,那么杀毒分析人员会将该Main函数 纳入特征码到云病毒库样本
当扫描一个文件发现有Main字符则判断为木马程序,这就是特征码了
火绒病毒库:2021.2.22
这里不提供木马跟工具,仅提供思路
话不多说上木马
木马:test.exe
直接报毒
来定位下被报毒得特征码用到特征码定位器
木马文件拖入特征码定位器
生成文件,生成出20个文件,扫描这20个文件,3个文件报毒
把报毒文件一键处理删除,并检查特征码
出现特征码偏移地址:000377A9
处理木马文件
打开WinHEX载入木马文件
并跳转到特征码偏移地址:000377A9
这里从A0段开始
特征码定位器并不是精确定位到点,特征码定位器定位长度偏移得设置好
得到了一个大致特征码位置,我们再手动删除过滤精确
根据定位器设置 结束位置是:00041400
可以判断为000377A9 x 00041400
也就是在这偏移地址之间有特征码
知道在这之间有特征码后,从000377A9偏移开始,后面开始选择删除,保存文件
不断精确过滤,删除一些再保存,扫描文件看是否报毒
最后在00038E00位置出现被报毒得特征码
Unicode字符编码为:sitemanager.xml
看样子是个.xml 文件
看如下图
开始免杀
可以直改000,若不想改0 那就+1或-1,或者字串符大小写混合
我这里用+1-1法,看如下图对比
没修改前:
修改之后
总之就是让被检测得字串符,删除或者混淆前提是修改后程序还能运行
火绒成功免杀
成功免杀,后门上线
总结
总之就是让被检测得字串符,删除或者混淆前提是修改后程序还能运行
