驱动程序免杀修改技巧
一次性进群,长期免费索取教程,没有付费教程。
教程列表见微信公众号底部菜单
进微信群回复公众号:微信群;QQ群:16004488
微信公众号:计算机与网络安全
ID:Computer-network
驱动程序大多以*.sys结尾,经常接触免杀的朋友都知道驱动程序的免杀不好做,修改稍有不当就会出现问题。虽然几乎所有文件的修改技巧都大同小异,但是这其中还是有一些细微的不同之处的。
了解驱动程序的编写及编译过程对于学习驱动程序免杀会有比较大的帮助。
1、驱动程序的常见免杀方法
驱动程序的特征码定位与普通的exe可执行文件完全一样。不过,定位完毕后,要怎样做才能对其进行简单而有效的免杀呢?第一个方法就是利用VMProtect进行加密,其操作方法与《免杀技术浅析》中所讲述的一样。
还有一个方法就是OEP混淆。所谓的OEP混淆就是利用一款加壳工具PE Armor对需要免杀的木马进行一定的处理,从而达到想要的效果(利用其他的一些加密壳比如Themida也可以达到相同的效果)。具体步骤是,先打开PE Armor并加载驱动文件,在“设置1”选项卡中勾选“OEP混淆”和“创建备份”,如图1所示,然后返回“处理”选项卡并单击“保护”按钮。
图1 使用PE Armor混淆OEP
使用OEP混淆对驱动程序进行免杀操作的方法是很多变的,而且市面上不断有各种各样的新加密壳出现,因此在做免杀试验时还请大家打开思路。
2、驱动程序的手工免杀思路
驱动程序的手工免杀方法与EXE文件的基本一致,只不过它多了一些限制而已。对于驱动程序的修改,采用类似于特征码区域填00的做法是很难取得什么效果的,这一点还请大家注意。只能使用类似于大小写替换、在原有汇编指令上进行修改等方法来进行免杀,但在修改完毕后一定要使用PEditor修复一下校验和,如图2所示。
图2 用PEditor对修改完的驱动程序重新计算效验和
如果您想对驱动程序进行比较熟练的手工免杀,最好的方法就是先学习汇编语言,其次是利用大小写修改的方式碰碰运气,也许能成功地修改几个。事实上,对于驱动程序的手工免杀,只要记住修改驱动程序时所需要注意的事情,那也就可以算是掌握修改的精要了。以下是修改准则:
(1)在修改时一定要以最小的改动为标准,添加任何额外的汇编指令都是不明智的,最好在原有指令下进行修改,或使用功能基本相同或不会改变程序结果的指令来替换原有指令。而且在修改完指令后一定要记得对文件重新进行校验和操作,方法与图2所讲的一样。
(2)尽量不要改变sys文件的大小。
(3)这些规则只适用于一般情况,如果想加壳(sys文件加ASPack壳可以正常运行),那么最好同时对其进行加花处理。如果对sys文件即加壳又加花,那么就同时违反了前两条准则。但是这样做确实也可以起到一定的免杀效果,所以不要被网络上流传的所谓经验之谈禁锢住了自己的思想。
微信公众号:计算机与网络安全
ID:Computer-network