每天拿出一分鐘來學習,你的生命會更加精彩。

易語言 免殺360心得總結。

發布:洪雨2019-6-3 9:16分類: 編程相關 標簽: 易語言 編程

    我不是一個專業程序員,只是一個易語言愛好者,沒事喜歡寫點東西。

    作為一個殺毒軟件必殺的冷門語言,我真是很無奈,一個空程序編譯出來,360都要報毒,實在無語。

    論起殺毒軟件,現在最狠的還是360,當你寫了一個東西,其他殺毒軟件都不殺的時候,360還是要殺。無論你寫什么東西,反正就是殺你。

    以我微薄的技術與之抗衡很多年,做一下總結。

    360殺毒有五大引擎,一是小紅傘,二是qvm人工智能,三是qex腳本查殺,四是啟發式引擎,五是云查殺。

    一,360殺易語言的特征。也就是說,只要你用易語言寫的,就殺。

    這個處理方法比較簡單,用易語言自帶的加花就能過,不過過的時間不久,特征還是在的,最好是用傳統的去特征的方法。

    在不同版本中,特征不同,多數情況稍加修改即可,比如配置中填寫軟件名,去掉寫入版權內容的對勾,添加或者替換資源等等。

    二,特征定位修改

    具體的方法我不啰嗦,用軟件定位特征反編譯修改即可,該刪的刪該替換的替換。當年非常盛行,而且效果極好,然后加花加殼就能過卡巴一年多。但是對于360云查殺,還是不行……360云查殺的白名單機制,簡直變態。只要不在它安全名單里的,全部認為是病毒……

    特征定位可以過小紅傘,qex和qvm,但是過一段時間qvm就過不了了,因為“人工智能”嘛,說白了就是白名單系統,需要一定的匹配時間。

    三,加殼加花

    其實加殼加花是有用的,先說說市面上的花,大多都是個人高手自創的工具,知名的大多成為了歷史,不再更新了。在當下,市面上幾乎找不到新的,能夠加花的工具。

    殼工具還是很多的,像四大神殼一直在更新,免費版就很好使。套上就能過360,傻瓜又立竿見影。

    但是,過的時間不長,半個月。    

    四,源碼花

    這個很容易理解,就是在程序寫完以后,再添加大量無用邏輯運算和判斷跳轉。這樣做是有效果的,尤其在敏感代碼前后使用,或者直接在“花”中判斷運行。可以將平時寫的邏輯判斷運算等,編輯成模塊,每次寫程序直接調用模塊來加花。

    這里洪雨多嘴說個組件花,什么是組件花?比如按鈕,我們來50個,比如編輯框,我們來100個,而且這些組件下都有運算命令,但都是無意義的。同樣能起到很好的混淆效果。

    五,壓縮殼

    目前為止,各種壓縮殼貌似效果不行,因為360有啟發式,只要你運行了敏感動作,它都可以殺內存。不過我們講的是沒有敏感動作,它還要殺的解決辦法。很早以前用win自帶的iexpress捆綁壓縮就可以過,現在不行了,被玩爛了。


    說說方法

     一,源碼定位,首先刪減源碼,然后編譯,如果報毒,繼續刪減,直到不報毒為止,定位出報毒的子程序。然后刪減子程序的命令,進行編譯,最終定位出報毒的命令。(大型軟件就算了,代碼太多,太費事)

     二,在敏感代碼前后,子程序前后,添加大量無意義的不報毒命令。例如循環1000次判斷計算加減乘除運算。跳來跳去,就是上面提到的源碼花
     三,編譯后替換資源,建議替換360相關產品(非殺毒衛士)下帶證書的資源,最好是dll文件。越大越好。
    四,壓縮殼或者加密殼,建議upx壓縮殼最高壓縮。因為upx比較好脫殼,所以不容易報毒。加密殼推薦Themida 強殼暫時可以直接過。以前se殼比較牛,因為太牛了,所以360直接報,其實四大神殼都可以的,只是tmd和se用的人多,被和諧的比較快。
    五,體積膨大,這個比較有意思,在一定程度上可以阻止360上傳檢測。如果不介意,最好把自身膨大到1G以上。
程序中寫入自我膨脹最好。膨脹還有一個好處,就是能夠改變自身md5值,最好設置成隨機體積。
    六,先膨脹再壓縮,也就是上面4和5顛倒一下。換完資源就膨脹,然后再壓縮。七,敏感命令dll化,把敏感的命令,比如運行,比如文件讀寫,這樣的命令封裝在dll里,調用運行。在dll中也加入源碼花,效果更佳。    

    七,封裝打包,上面提到,把敏感命令都編譯到dll文件中,每個命令封裝一個dll,每個dll加源碼花,然后再加密殼,最后打包到一起,變成一個程序。市面上打包程序很多,都試試,效果不同,有的打包軟件就帶免殺效果,打包后就免殺了。

    八,7-zip捆綁,這款軟件是一個壓縮工具,本來是和winrar等一樣的壓縮打包軟件,但它獨特的壓縮算法,免殺效果不錯。之前我們大量使用winrar的自解壓運行功能進行捆綁免殺,和網賺靜默安裝。所以winrar報毒嚴重。但是7-zip卻少有人使用,所以無論是捆綁,還是靜默安裝,免殺效果都不錯。

    九,敏感命令巧用bat,bat批處理很大程度是不報毒的,像運行文件這樣的命令,用批處理來就不會報毒。所以,有些能過被動防御的程序,結合批處理來執行,就能巧妙逃脫殺毒檢測。

    說一個思路,復雜了一點,多看幾遍。首先準備原文件,將原文件用zip壓縮,僅僅就是壓縮,這樣它就能過被動防御,然后準備一個bat,bat里面的命令是,隔5秒鐘后,解壓剛才的zip文件,并運行原文件。好,我們手上有這樣兩個文件,一個zip壓縮過的原文件,一個bat文件。我們再將這兩個文件用winrar壓縮,做成自解壓文件,設置解壓后自動釋放兩個文件,并運行bat。這樣,bat會先等待5秒鐘,等兩個文件都釋放出來以后,開始解壓zip后運行原文件。

    其實把bat換成vbs也是可以的,因為都是腳本語言,多嘗試,哪個效果好用哪個。

    十,再說一個dll和bat結合的例子,這個比較簡單一些,就是將命令直接放到啟動子程序里,然后封裝。或者,啟動子程序下加載一個窗口,在窗口程序集的啟動窗口時運行命令然后直接結束。無論哪個,效果一樣。重點是,我們用bat批處理來運行這個dll,其實就是注冊它,直接regsvr32 /s xxx.dll 就能運行dll里的程序。然后呢,我們把dll該加花的加花,該加殼的加殼……

    十一,說說捆綁吧,最簡單的就是winrar的自解壓運行,或者更厲害一點的zip自解壓。當年流行windows自帶的iexpress進行捆綁免殺。那個年代我還是一個小鳥,沒趕上。所以現在統統不過360,因為360的云查殺,所以只要一個病毒樣本被解析,其他全部不好使。

    關于捆綁,說幾個原理上的,第一個是把一個程序對接到另一個程序屁股上,運行的時候運行兩個程序,一個完整的程序理論上后面可以加任何東西,所以就可以對接上。這個很low,所以沒啥用。第二個,就是資源加載,程序資源區段很特別,部分包含了程序能用到不能用到的所有東西,所以就可以寫進去任何東西。先寫一個a程序,a程序只有一行代碼,就是釋放資源并運行,然后將b程序,也就是我們要運行的真正程序,寫到a的資源里。我們用一個自解壓來打包a程序,這樣就ok了,a的資源里理論可以加載無限多的程序,也就是捆綁無限多的程序。

    先寫到這吧待更新~


說說360qvm人工智能的免殺,一下資料來自互聯網,我也親測了,有效。

HEUR/Malware.QVM06.Gen    一般情況下加數字簽名可過
HEUR/Malware.QVM07.Gen    一般情況下換資源
HEUR/Malware.QVM13.Gen    加殼了
HEUR/Malware.QVM19.Gen    殺殼 (lzz221089提供 )
HEUR/Malware.QVM20.Gen    改變了入口點
HEUR/Malware.QVM27.Gen    輸入表
HEUR/Malware.QVM18.Gen   加花
HEUR/Malware.QVM05.Gen   加資源,改入口點
========以上網上收集的,下面是個人經驗==============
QVM02 找特征
QVM07 加資源一般加到2M會報QVM06
再加數字簽名,然后再慢慢減資源,這個方法對大部分木馬有效果。
QVM06 加數字簽名
QVM12殺殼
QVM13殺殼
QVM27殺輸入表
QVM19 加aspack
QVM20就加大體積/加UPX壓縮
 
QVM 18.19 解決方法 入口點加1 在合并區段
OVM 06 07 加數字簽名均能過
QVM20 加3.4個資源在加數字簽名
 
云引擎; 入口點變異 或者修改MD5
云引擎; 通用免殺方法加資源版本和圖標 再加ASPack
 
后門程序 ; 解決方法 加PassQVM1.2 報QVM07 添加手動數字簽名 就能過
 
小紅傘源碼免殺就殺幾個下載函數
無特征碼免殺直接隱藏輸入表  添加空區段
特征碼免殺就對定位到的主函數進行跨區段移位api函數在本區段找空白移位
記住移位后的新地址在OC轉為內存地址 在修改指針 如果不行就減去鏡像基址
大多都是RVA地址
定位到DLL文件上直接填充
 
加殼免殺直接加se或者穿山甲這些就過了
 
BD免殺處理; 改資源 換圖標 版本 再加個強殼 最后加個簽名
 
無特征免殺; PE優化 加簽名DLL文件  PE頭移動 小熊PE修改器
加區段小熊PE修改器 加函數跟主函數添加一樣的 微軟壓縮永久免殺
改殼免殺 等價替換 為實現跳轉NOP掉 添加空區段 clcc指令可以nop
或者打亂pE結構  PE結構打亂工具  前提做處理 加資源 打亂pE結構  在加殼

溫馨提示如有轉載或引用以上內容之必要,敬請將本文鏈接作為出處標注,謝謝合作!

WRITTEN BY

avatar

已有 0/75 人參與

歡迎使用手機掃描訪問本站,還可以關注微信哦~

深圳风采开奖结果规则