《杀不死的秘密》求取 ⇩

第一章背景知识1

1.1 免杀技术的发展1

1.2 免杀技术的定义2

1.3杀毒软件查杀原理2

1.3.1 特征码法2

1.3.2 校验和法3

1.3.3 行为监测法4

1.3.4 软件模拟法4

1.3.5 总结4

1.4 常见杀毒软件及其杀毒引擎特点5

1.5免杀技术的分类6

1.5.1 内部免杀和外部免杀6

1.5.2 特征码免杀和大范围免杀6

1.5.3 文件免杀、内存免杀和行为免杀6

1.5.4 盲免技术7

第二章搭建实验环境8

2.1免杀测试步骤及测试环境8

2.1.1 免杀测试中遇到的问题8

2.1.2 虚拟机的概念8

2.1.3 VMware工作原理9

2.1.4 系统还原技术9

2.1.5 冰点还原工作原理9

2.1.6 选用哪种方式测试免杀效果9

2.2VMware的安装与使用10

2.2.1 安装VMware Workstation 6.5.2 中文版10

2.2.2 创建一个新的虚拟机12

2.2.3 在VMware的虚拟机中安装Ghost XP14

2.2.4 安装VMware Tools及简单使用VMware16

2.3冰点还原的安装与使用17

2.3.1 安装冰点还原17

2.3.2 使用冰点还原18

2.4 综合型的测试环境19

2.5 常用免杀工具一览19

第三章免杀技术前置知识——PE结构26

3.1PE结构简单介绍26

3.1.1 PE文件结构（简化）26

3.1.2 初步理解内存地址26

3.1.3 文件偏移地址和虚拟地址转换27

3.2DOS文件头和DOS块27

3.2.1 DOS文件头27

3.2.2 DOS块28

3.3PE文件头29

3.3.1 FileHeader字段29

3.3.2 OptionalHeader字段30

3.4 区段表和区段32

3.5输出表和输入表32

3.5.1 输出表32

3.5.2 输入表33

3.6什么是加壳免杀33

3.6.1 加壳免杀概念33

3.6.2 壳程序的分类33

3.7壳程序的使用34

3.7.1 ASPack加壳实例34

3.7.2 UPX加壳实例35

3.7.3 NSPack加壳实例36

3.8 实战加壳免杀37

3.9从PEID实战PE结构38

3.9.1 使用PEID载入一个文件39

3.9.2 入口点39

3.9.3 EP段39

3.9.4 文件偏移40

3.9.5 首字节及汇编的概念40

3.9.6 查壳功能41

3.9.7 查壳原理41

3.9.8 PEID的设置41

第四章免杀技术前置知识——汇编基础42

4.1免杀技术与汇编及反汇编的关系42

4.1.1 机器语言42

4.1.2 汇编语言42

4.1.3 高级语言42

4.1.4 反汇编42

4.1.5 汇编与反汇编43

4.2寄存器和堆栈44

4.2.1 寄存器44

4.2.2 堆栈44

4.3内存单元与内存寻址45

4.3.1 内存单元45

4.3.2 内存地址45

4.3.380 386的寻址机制46

4.3.4 大尾与小尾47

4.4JMP指令与EIP寄存器48

4.4.1 jmp（JuMP）指令48

4.4.2 EIP寄存器48

4.5常用传送指令49

4.5.1 PUSH（PUSH）指令49

4.5.2 POP（POP）指令49

4.5.3 MOV（MOVe）指令50

4.5.4 LEA（Load Effective Address）指令51

4.6算术运算指令Ⅰ52

4.6.1 ADD（ADD）指令52

4.6.2 SUB（SUBtract）指令52

4.7标志寄存器52

4.7.1 ZF标志位52

4.7.2 PF标志位53

4.7.3 SF标志位54

4.7.4 CF标志位54

4.8算术运算指令Ⅱ55

4.8.1 ADC（ADd with Carry）指令55

4.8.2 SBB（SuBtract with Borrow）指令55

4.8.3 INC（INCrement）指令56

4.8.4 DEC（DECrement）指令56

4.8.5 CMP（CoMPare）指令56

4.9逻辑运算指令57

4.9.1 AND（AND）指令57

4.9.2 OR（OR）指令57

4.9.3 XOR（eXclusive OR）指令58

4.9.4 TEST（TEST）指令58

4.10程序转移指令58

4.10.1 CALL（CALL）指令58

4.10.2 RETN/RETF（RETurN/RETurn Fuck）指令59

4.10.3 条件转移指令60

4.10.4 LOOP（LOOP）指令60

4.10.5 NOP（No OPeretion）指令61

4.11环境保存61

4.11.1 变化的ESP寄存器61

4.11.2 LEAVE（LEAVE）指令62

4.12OD使用指南62

4.12.1 将文件载入OD63

4.12.2 反汇编代码窗口63

4.12.3 程序是如何执行的64

4.12.4 免杀过程中经常用到的OD的调试功能65

4.12.5 单步跟踪和单步步入65

4.12.6 断点和设置断点66

4.12.7 编辑指令66

4.12.8 表达式跟随66

4.12.9 查找命令67

4.12.10 重新设置EIP67

4.12.11 复制到可执行文件67

4.12.12 查看跳转方向67

4.13手工加花免杀68

4.13.1 加花免杀的原理68

4.13.2 一个典型的花指令68

4.13.3 给上兴服务端加花68

4.14 工具加花免杀实例72

4.15为什么要编写花指令73

4.15.1 堆栈平衡73

4.15.2 pushad和popad73

4.15.3 常用平衡指令73

4.16C32Asm使用指南74

4.16.1 打开文件74

4.16.2 编辑数据74

4.16.3 地址跳转75

4.16.4 数据查找75

4.16.5 文本操作75

4.16.6 保存文件75

4.17 API调用75

第五章手工脱壳80

5.1脱壳基础知识80

5.1.1 脱壳的概念80

5.1.2 OEP（Original Entry Point）80

5.1.3 脱壳的用处80

5.2单步跟踪法80

5.2.1 使用单步跟踪法追踪OEP的常见步骤80

5.2.2 使用单步跟踪法脱UPX壳81

5.3ESP定律法85

5.3.1 使用ESP定律追踪OEP的常见步骤85

5.3.2 ESP定律脱北斗壳85

5.3.3 ESP定律原理86

5.4二次断点法87

5.4.1 使用二次断点法追踪OEP的常见步骤87

5.4.2 使用二次断点法脱壳实例87

5.5末次异常法90

5.5.1 使用末次异常法追踪OEP的常见步骤90

5.5.2 使用末次异常法脱tElock 0.9890

5.6模拟跟踪法95

5.6.1 模拟跟踪法的常见步骤95

5.6.2 使用模拟跟踪法脱FSG 1.33 壳95

5.7SFX自动脱壳法96

5.7.1 使用SFX自动脱壳法脱壳的常见步骤96

5.7.2 使用SFX自动脱壳法脱dxpack壳96

5.8出口标志法97

5.8.1 使用出口标志法脱壳的常见步骤97

5.8.2 使用出口标志法脱depack壳98

5.9 使用脱壳脚本辅助脱壳99

5.10使用脱壳工具脱壳100

5.10.1 超级巡警脱壳工具的工作方法100

5.10.2 使用超级巡警脱壳工具脱壳100

第六章常用大范围免杀方法101

6.1利用加多个花指令的方法实现木马免杀101

6.1.1 加多花免杀的原理101

6.1.2 加多花免杀实例101

6.2 利用壳外花实现木马免杀104

6.3 利用FreeRes实现加多壳免杀106

6.4利用修改壳头实现木马免杀107

6.4.1 ASPack 2.12 壳的修改107

6.4.2 UPX壳的修改108

6.5 利用移动PE头的方法实现木马免杀109

6.6 利用SEH技术给木马加花113

6.7 利用去头加花方法实现木马免杀114

6.8 利用reloc改壳免杀木马117

6.9 利用LordPE重建PE实现免杀119

6.10利用添加PE数字签名实现免杀119

6.10.1 判断一个PE文件是否具有数字证书120

6.10.2 获取PE文件内数字签名的起始位置120

6.10.3 获取PE文件内数字签名的长度120

6.10.4 拷贝数字签名到pcmain.dll中120

6.10.5 给pcmain.dll添加PE数字签名相关配置信息121

6.10.6 利用工具快速给PE文件添加数字签名121

第七章特征码定位122

7.1再谈特征码122

7.1.1 特征码查杀两要素122

7.1.2 复合特征码查杀122

7.1.3 隐藏特征码123

7.1.4 启发式扫描123

7.1.5 狭义上的特征码与广义上的特征码124

7.2MyCCL定位原理124

7.2.1 MyCCL定位复合特征码的原理124

7.2.2 MyCCL对特征码的精确定位125

7.2.3 隐式隐含特征码126

7.3 MultiCCL定位原理126

7.4MyCCL定位文件特征码实例128

7.4.1 粗略定位复合特征码128

7.4.2 精确定位复合特征码130

7.5MultiCCL定位文件特征码实例131

7.5.1 使用MultiCCL定位文件特征码131

7.5.2 MultiCCL保护区域的设置134

7.6定位内存特征码135

7.6.1 使用MyCCL定位内存特征码135

7.6.2 使用MultiCCL定位内存特征码136

7.7启发式扫描与主动防御138

7.7.1 启发式扫描138

7.7.2 主动防御139

第八章特征码修改方法140

8.1 等值替换法修改特征码140

8.2修改ASCII特征码大小写141

8.2.1 ASCII码和ANSI码141

8.2.2 利用ASCII特征码大小写转换免杀LCX142

8.3 去除无用ASCII特征码142

8.4移动ASCII特征码143

8.4.1 ASCII码数据如何发挥作用144

8.4.2 免杀原始文件144

8.4.3 移动ASCII特征码实例144

8.5颠倒代码顺序实现特征码修改147

8.6 利用vmprotect v1.21 加密特征码148

8.6.1 导出原始服务端中的SYS驱动文件148

8.6.2 免杀SYS驱动文件149

8.7利用通用跳转法修改特征码152

8.7.1 利用通用跳转法修改特征码的原理152

8.7.2 利用通用跳转法修改特征码152

8.8 移动输入表函数特征码154

8.9加空格免杀输入表文件名159

8.9.1 什么是加空格免杀法159

8.9.2 下面就来实际操作一下159

8.10 修改输入表描述信息免杀160

8.11移动输出表函数特征码160

8.11.1 认识输出表的结构161

8.11.2 移动输出表函数名162

8.12利用异或算法加密特征码163

8.12.1 重温异或算法163

8.12.2 异或算法在免杀上的运用163

8.12.3 修改区段标志164

8.12.4 加入新区段，并记录相关数据165

8.12.5 实施加密167

8.13 利用异或算法加密输出表函数特征码172

8.14通过修改干扰码实现特征码免杀174

8.14.1 修改第一部分干扰码175

8.14.2 修改第二部分干扰码175

8.14.3 修改第三部分干扰码176

8.14.4 修改特征码176

8.15特征码交换177

8.15.1 数据传送法修改特征码的原理177

8.15.2 特征码交换的原理及应用177

8.15.3 特征码交换实例178

8.16 隐藏输入表181

第九章对抗新型安全工具185

9.1 利用Abetter突破卡巴斯基主动防御185

9.2 突破卡巴斯基、瑞星、360安全卫士的安全监控187

9.3 简单突破江民等杀毒软件主动防御191

9.4突破360安全卫士启动项监控Ⅰ191

9.4.1 突破360安全卫士启动项监控的原理191

9.4.2 突破360安全卫士启动项监控实例192

9.5 突破360安全卫士启动项监控Ⅱ194

第十章综合免杀实例196

10.1免杀PcShare过诺顿11196

10.1.1 定位特征码196

10.1.2 特征码修改196

10.2免杀PcShare过NOD32199

10.2.1 PcMain.dll文件特征码的修改199

10.2.2 PcInit.exe文件特征码的修改201

10.3免杀PcShare过瑞星202

10.3.1 免杀PcMain.dll202

10.3.2 免杀PcHide.sys214

10.3.3 免杀PcInit.exe214

10.4免杀PcShare过卡巴斯基216

10.4.1 免杀PcMain.dll216

10.4.2 免杀PcInit.exe224

10.5免杀PcShare附加数据过常见杀毒软件233

10.5.1 修改配置信息加密密钥233

10.5.2 设置动态密钥加密235

10.6免杀PcShare过BitDefender2010239

10.6.1 免杀PcMain.dll240

10.6.2 免杀PcInit.exe242

第十一章简单脚本免杀247

11.1 PHP后门的免杀247

11.2 简单免杀ASP木马248

11.3 拆分网页木马的特征码248

11.4 利用HTML混淆器免杀网页木马251

11.5 用Escape加密网页木马252

11.6 最实用的ASP后门免杀方法253

11.7脚本后门及网页木马的免杀综述254

11.7.1 加密法254

11.7.2 特征码修改法255

11.7.3 分割文件包含法256

11.7.4 王牌“免杀法”256

附录258

汇编速查手册258

阅读本书过程中可能遇到的问题261