转JKS作者:jgaoabc
甲壳虫技术小组郑重法律声明:甲壳虫技术小组网站论坛所涉及所有动画课程、软件、文章仅供为提高电脑技术,普及中国网络安全服务,以求电脑技术爱好者交流探讨为参考,严禁任何组织和个人利用此动画教程培训软件侵入他人电脑等非法活动,甲壳虫技术小组无授意指使他人为之之故意,造成损害甲壳虫技术小组概不负责任何法律责任。
-----------------------------------------------------------------------------------------
我是无特征码免杀的jgaoabc,最近没研究无特征码免杀了,因为我发现表面和内存免杀并不能解决目前的主动防御的问题,再怎么免杀好的木马,主动防御过不了,人家让你上不了线不照样没用。
今天说的是瑞星2010的主动防御。最近瑞星2010很火暴,主要是由于他新增了主动防御,以前木马免杀只要做表面和内存免杀就可以了,主动行为免杀基本上是不管的,而插入进程上线更是各类远控必备的一个手段。但是最近不行了,因为瑞星已经把这招防死了。哪个正常的程序会选择插入别人的进程去运行?这一点瑞星理解是正确的,但是他还是怕把门关死了,所以留了个数字签名这条缝。当然你以前安装的木马只要表面和内存免杀,他是查不出来的。
如果你选择不插入进程,瑞星是不会说什么的,我们的目标是插入进程过瑞星主动。我最近看了网上不少的教程,都是关于插入进程过瑞星主动的。其实说的都不是很好,这不是贬低他们抬高自己,因为我现在虽然已经找过主动的办法,但是要实现起来还需要很长的一段路要走。
先说说论坛上的艾楠京写的《黑防鸽子完美过瑞星2010主动》,我在QQ上跟他也探讨过,修改ZwUnmapViewOfSection的方法可以过瑞星主动,但这个方法不是很完美,和不插入进程其实是一样的,因为按照这样操作实际上服务端并没有真正插入svchost.exe,二者是分开的,当把服务端卸载时,svchost.exe并没有卸载,会留下个72k大小的svchost.exe,主要原因是ZwUnmapViewOfSection变换大小写后,动态调用这个函数出错,这个函数并没有起到作用。而这个函数的应用主要是为插入svchost.exe这个进程服务的。我用ABC演示下,在这里,我这里是插入EXPLORER.EXE。我把ntdll.dll破坏掉
0046E8F4 call dword ptr ds:[4A125C] ; ntdll.ZwUnmapViewOfSection
我也尝试了数字签名的方法,随便加一个数字签名肯定是不行的,因为数字签名无效,国内的中国数字认证网
www.ca365.com提供免费一年的签名服务,我去申请了几个,把他加到了我的表面和内存都过的服务端上,在我的电脑上显示的是该数字签名有效,但在我运行的时候还是出现主动提示,只有一个另外,这个是在我的电脑上运行瑞星是没提示的,当时我想是不是找到了过主动的方法,当时很开心,呵呵,可是接下来我把它发给远控组的队员去他们的虚拟机上运行,提示又出现了,瑞星好象在玩我,哈哈。赶紧分析原因吧,被我想到了,主要是数字签名的根证书问题,我在我的电脑上安装免费证书的时候下载了
www.ca365.com数字签名的根证书,但这个根证书并不是所有的电脑都接受的,我做的服务端的数字签名在其他电脑上并没有显示签名有效。我去找了瑞星数字签名的网站,瑞星为了这个签名花了10万美元。最便宜的要100美元,难道我为了过瑞星主动去花100美元,关键是还不知道过不过瑞星的主动防御呢。
所以加数字签名的方法我暂时放下来没有继续深入下去了,接下来我在OD里跟踪代码的运行,看瑞星到底是在哪个环节对程序实行了追踪。我是用ABC1.9来做试验的,看这里,当启动服务的时候,瑞星主动提示就跳了出来,一路允许,服务端就上线了。那么是不是可以把这个NOP掉,让他重启后再运行呢?我做过试验,重启后瑞星的提示照样会出现。
00466F6A call eax ; advapi32.StartServiceA
通过分析,我想到了瑞星是通过HOOK了API函数的方法来实现主动防御的,那么他是HOOK了什么函数呢,用冰刃吧,冰刃是可以显示被HOOK的API函数的。打开冰刃,来到SSDT,看红色的部分都是瑞星在我电脑上干的坏事(题外话,我发现金山毒霸影响ABC客户端的上线,估计也是HOOK函数的原因吧)。瑞星修改了SSDT表,当服务端调用HOOK过的函数时,程序先被引导到瑞星的主防程序里进行判断,看是不是在进行非法勾当,如果是,就出现提示,如果选择NO我们的马就完完了。那么他是HOOK了什么函数使得插入进程这种行为变的非法呢?通过尝试,我发现是这二个函数:NtWriteVirtualMemory和NtCreateProcessEx,我们就看下把这二个函数恢复过来是怎么样的吧,恢复好了,我们来运行服务端,看,没提示吧,主动就过了。呵呵,但是我们总不可能把冰刃先装到肉鸡上去把SSDT表恢复过来再运行服务端吧,不现实。
怎么恢复SSDT表呢,如果能够做到的话,什么卡巴、瑞星、江民,通通见鬼去吧。随动画附上一个工具(这个工具有没有毒我不知道,我是网上下载的),是这样操作的,先用这个处理下免杀的服务端,处理过的服务端先运行还原SSDT的任务,然后运行原始服务端,但在这个过程中瑞星会跳出改变内存的提示,而且是高度危险,一般用户都会选择NO,还原SSDT不成提示照样会出现。这次没出现提示是我恢复了二个函数。呵呵
那么有什么办法可以绕过他呢,答案应该是肯定的,那就是自己编写NtWriteVirtualMemory和NtCreateProcessEx这二个函数,我可不会编写,怪自己学艺不深,我知道论坛上藏龙卧虎,希望大家发表意见。
谢谢大家。
本文转自黑盒子论坛:http://bbs.hhz1.com/viewthread.php?tid=325&extra=page%3D1
