[原創]免殺技術有一套(免殺方法大集結)(Anti-AntiVirus)

anhkgg發表於2019-02-25

00. 概述

什麼是免殺?來自百科的註解:

免殺,也就是反病毒(AntiVirus)與反間諜(AntiSpyware)的對立面,英文為Anti-AntiVirus(簡寫Virus AV),逐字翻譯為“反-反病毒”,翻譯為“反防毒技術”。

有本比較有名的書,想詳細學習的同學可以去看看。《駭客免殺攻防》

其實我大概好像只看過目錄...( ╯□╰ )

下面我介紹的是自己實踐的一些方法,有沒有效果,試試就知道了。

01. 簡介

免殺大概可以分為兩種情況:

  1. 二進位制的免殺(無原始碼),只能透過透過修改asm程式碼/二進位制資料/其他資料來完成免殺。
  2. 有原始碼的免殺,可以透過修改原始碼來完成免殺,也可以結合二進位制免殺的技術。

免殺也可以分為這兩種情況:

  1. 靜態檔案免殺,被防毒軟體病毒庫/雲查殺了,也就是檔案特徵碼在病毒庫了。免殺方式可能是上面的兩種方式,看情況。
  2. 動態行為免殺,執行中執行的某些行為被防毒軟體攔截報讀。行為免殺如果沒有原始碼就不是很好搞了。

下面就靜態和動態免殺來詳細說說免殺的技術。

02. 靜態免殺

對於靜態免殺,針對的是防毒軟體的靜態檔案掃描,雲查(病毒庫)殺。

防毒是提取檔案一段特徵碼來識別病毒檔案。

能識別一個程式是一個病毒的一段不大於64位元組的特徵串

那防毒軟體是怎麼提取檔案特徵碼的?

如果我們知道了一個檔案是病毒,那麼透過md5肯定可以判斷一個就是這個病毒檔案,那如果該病毒檔案做了小小變動呢,直接md5肯定是不行了,那防毒軟體是怎麼做的呢?這裡有個叫做模糊雜湊(Fuzzy Hashing)演算法的東西。

模糊雜湊演算法又叫基於內容分割的分片分片雜湊演算法(context triggered piecewise hashing, CTPH),主要用於檔案的相似性比較。

大致就可以理解為,不要把一個檔案的所有內容都拿來計算hash,而透過分片,取出部分重要(不易改變)的內容進行hash計算,這樣就能達到透過一個特徵碼找到類似的病毒變種。

關於模糊雜湊更加詳細的內容可以檢視文章後面的參考文章,這裡不再詳述。

具體防毒軟體是不是透過這個演算法來計算特徵碼的,我也不能完全肯定(純猜測加網上一點點資訊),但是根據免殺的經驗可以總結出幾點:

  1. 特徵碼會有多個串組合(減少誤報)
  2. 程式碼資料(肯定有)
  3. 會解析PE,檢查附加檔案資料、PE檔案的資源等等

1. 怎麼找特徵碼

工具查詢

常見的特徵碼定位工具有CCL、MYCCL。工具大致原理就是分割檔案,某些分割部分填入資料(0),如果掃描該部分不報警,則特徵碼在這個部分。如此反覆,直到找到很短的某一段內容。不同工具之前局別是使用的分割演算法不同,查詢特徵碼的效果不同。

目前比較常有名氣的特徵碼定位器主要有CCL與MYCCL,他們都採用檔案分塊定位的辦法,定位效果帶有運氣成份,且可能每次定位出的位置都不盡相同,這個免殺帶來了困難。

後來出來了一款新的特徵碼定位軟體VirTest。下面是作者自己的介紹:

我們可以這樣假設報毒過程,如果檢測檔案是PE,如果在CODE位置存在 標誌A,在DATA位置存在標誌B,在資源位置存在標誌C,同時滿足這個3個條件,那麼殺軟就會報毒,VIRTEST工作原理就是要找到引起報毒最後一個標誌,也就是假設中的標誌C。

因此VIRTEST採用2分排除法,測試標誌C所在檔案中的位置,由於被殺的檔案可能存在多個 類似於ABC這樣的連鎖條件,所以我們必須要透過一種排除機制,先要找最靠近檔案前部的連鎖條件,排除掉檔案尾部資料,當找到第一個連鎖條件後,抹掉引標誌C,再恢復尾部資料,

然後繼續測試另外的連鎖條件,直到找到最後一個連鎖條件,抹掉後,整個檔案免殺了,則說明特徵程式碼被定為完畢了,所以VIRTEST絕對可以精確的定位出所有的複合特徵。這比檔案分塊定位法先進得多,更為科學。

工具查詢肯定是針對二進位制檔案(有原始碼的也編譯後在檢查)。

具體用過MYCCL(使用方法自行查詢),確實比手工分割檔案定位方便,也可以找到某些檔案的特徵碼,但是有些時候可能會出現非常多非常多...的被殺檔案分割,然後...崩潰了。

後來也用了virtest,感覺作者說的挺有道理,應該挺好用吧。然後試了試,確實感覺比MYCCL高大上多了,也可以定位到特徵碼,但是tmd改了之後怎麼還是報呢,反正你可能會折騰很久...

手工查詢

這裡說的是針對有原始碼的(二進位制就別想手工了...),方法非常簡單。

  1. mian中遮蔽所有程式碼,編譯,掃描。不報的話繼續2,如果依然報毒,去5。
  2. 放開一層(可以多層、二分也可以)函式,編譯,掃描。不報的話,重複2。直到定位到某個函式或者多個函式,進入3。
  3. 在函式內部遮蔽部分程式碼(二分),編譯,掃描。不報,重複2。
  4. 直到定位某段程式碼(無自定義內部呼叫),特徵碼在此。
  5. 是不是有附加資料,或者資源儲存的檔案。有,單獨檢查該檔案或者資料,方法從1開始。如果沒有,那去找找PE頭吧。

大致流程:

1. sub1 //未報
2. sub1 sub2 //未報
3. sub1 sub2 sub3 //報
4. sub1 sub2 sub3(sub31) //未報
5. sub1 sub2 sub3(sub31 sub32) //報
6. sub1 sub2 sub3(sub31 sub32(sub321)) //報
...
直到找到某API呼叫,或者邏輯程式碼(沒有自定義函式呼叫)

此方法,雖然笨,但是定位特徵碼不會很慢,挺準確。

其他

別找了,直接盲免殺吧(後面具體看,有效)

2. 怎麼免殺?

前面已經找到特徵碼了,怎麼免殺呢?

其實前面已經說到了,找到特徵碼之後,只要改變這個特徵碼值得話就免殺成功。如果不需要軟體正常執行,直接填零得了...開玩笑,這怎麼可能。所以修改特徵碼還得保證軟體正常功能。所以也是有講究的。

常用的修改工具有,OD,C32ASM,UE,010Editor等等。

手工修改

非原始碼

1. 資料

如果特徵碼定位到資料(透過IDA/OD等確認),其實不好修改,稍微不慎就會導致程式不能執行,或者影響程式執行流程或結果。

  • 字串,如果不影響程式邏輯,可以替換大小寫;如果無關緊要的資料,隨意替換;等等,看情況而定。
  • 整數,如果不影響結果,替換值,清零等等操作。
  • 地址,基本應該不能修改,具體看情況。
  • PE頭資料,根據PE結構具體來看,無用資料清零或修改,有用資料看情況修改。
  • 最後,終極修改方法,找到訪問資料的程式碼,直接修改程式碼訪問資料的地址,資料也可以放到其他地址了,其實就如同修改原始碼一樣修改,肯定沒有修改原始碼那麼容易(見後)。

反正特徵碼定位到資料位置不容易修改(可以再試試後面的盲免殺)。

2. 程式碼

如果特徵碼定位到程式碼(也透過IDA/OD等確認),在不改變程式功能基礎上,應用各種方法修改。

  • 等價替換匯編程式碼,如mov eax,0可以換成xor eax,eax,直接結果相同,二進位制程式碼不同。
  • 交換程式碼順序,在不影響邏輯的情況下。
  • 程式碼塊移位,將程式碼塊移動不用的記憶體位置,透過加入jmp addr跳過去執行,addr是新的程式碼塊地址。

原始碼

在有原始碼的情況下,修改的方式就更靈活了,更簡單了。

  • 如果特徵碼是資料,那麼修改資料位置,訪問資料的程式碼位置等(思想類比非原始碼方式)。

  • 加花指令,這是最有效也是最常用的方式,要點在於如何加話指令。

  1. 加資料計算程式碼,加減乘除各類組合。
  2. 加字串操作程式碼,增加、刪除、查詢、替換等。
  3. 加多層跳轉,跳轉間加無效指令(不會執行的)。
  4. 加貌似有效的API呼叫,如LoadLibrary+GetProcAddr+API等。
  5. 等等。

工具免殺(盲免殺)

在沒找到有效的特徵碼,或者不好修改的時候,可以試試這種方式。

資源操作

1. 加資源

使用ResHacker對檔案進行資源操作,找來多個正常軟體,將它們的資源加入到自己軟體,如圖片,版本資訊,對話方塊等。

2. 替換資源

使用ResHacker替換無用的資源(Version等)。

3. 加簽名

使用簽名偽造工具,將正常軟體的簽名資訊加入到自己軟體中。

幾種方式可以交替重複多次進行組合使用。

PE操作

1. PE最佳化

使用PE最佳化工具對檔案進行最佳化,刪除0,PE頭最佳化,附加資料等。

2. 增加節

增加節資料,隨意加入無效資料。

加殼

可以將加殼簡單理解為:解密器/解壓器+加密器/壓縮器(原始程式碼)。

透過加密器/壓縮器將原始程式碼進行加密壓縮,讓其特徵碼變化隱藏,然後組裝上解密器/解壓器到檔案中,執行是先執行解密/解壓器,將加密壓縮內容解密解壓,然後繼續執行原始程式碼。

1. 加冷門殼

殼也有特徵,知名殼都已經被分析的非常多了,殺軟基本都能查這類殼,或者自動脫殼,然後進行查殺。

所以加冷門殼,殼特徵未被分析,不能自動脫殼,可以更好隱藏原始程式碼,得到免殺效果。

2. 加殼改殼

將常用殼進行修改,讓殼特徵變化,也可以是殺軟失效。

比如修改入口,區段資訊修改,入口程式碼移位。

可以類比為免殺殼,上面介紹的方法都可以使用。

03. 行為動態免殺

防毒軟體現在都會有主防的功能,對惡意行為進行攔截提示。

比如這些行為:

  1. 登錄檔操作,新增啟動項,新增服務
  2. 檔案寫入、讀系統檔案、刪除檔案,移動檔案
  3. 殺程式,建立程式
  4. 注入、劫持等

行為攔截原理

說白了,惡意行為都是透過API呼叫來完成的,可能是一個API,可能是多個APi組合。

殺軟透過技術手段攔截這些API呼叫,透過策略來判斷是否屬於惡意行為。

關鍵點:

  1. API
  2. 策略(順序,呼叫源,引數等等)

所以後面的方法就是針對這兩點做的工作。

如何進行行為免殺呢?

下面介紹的方式對非原始碼、原始碼都有效,但是非原始碼修改起來非常非常麻煩...

1. 替換api

使用相同功能的API進行替換,殺軟不可能攔截了所有API,所以這種方式還是有效的。比如MoveFileEx替換MoveFile。

2. 未匯出api

尋找相同功能的未匯出API進行替換,殺軟攔截一般是匯出API,或者底層呼叫,尋找未匯出API有一定效果。

尋找方法,透過分析目標API內部呼叫,找到內部一個或多個未匯出API,來完成相同功能。

3. 重寫api

完全重寫系統API功能(透過逆向),實現自己的對應功能API,對於ring3的行為攔截非常有效。比如實現MoveFile等。

4. api+5

ring3的API攔截透過是掛鉤API頭幾個位元組內容,然後進入殺軟自己函式進行引數檢查之類的。

那麼如果呼叫API時,跳過頭部幾位元組,就可以避開這種攔截方式。

__API:
1 push ebp;
2 mov ebp, esp;
3 mov edi, edi;
4 ...

呼叫時,不適用1地址,而使用4地址,然後自己函式內部還原跳過幾位元組的呼叫。

__API_MY:
push ebp;
mov ebp, esp;
mov edi, edi;
call 4

5. 底層api

該方法類似於2和3,殺軟攔截API可能更加高層(語義更清楚),那就可以找更底層API進行呼叫,繞過攔截,比如使用NT函式。

或者透過DeviceIoControl呼叫驅動功能來完成API功能。

模擬系統呼叫。

6. 合理替換呼叫順序

有時攔截行為是透過多個API組合來完成的,所以合理替換順序,繞過殺軟攔截策略,也可以繞過改行為攔截。

比如,先建立服務,再將服務對應檔案複製過去。

7. 繞過呼叫源

透過呼叫其它進行功能來完成API的功能。比較經典的如,透過rundll32.exe來完成dll載入,透過COM來操作檔案等等。

總結

方法大概就總結到這,要更好的完成免殺,需要各種方式進行合理靈活組合變化,或者挖掘更多的方法。

注意/技巧

  1. 非原始碼修改時,透過OD能夠更好的完成,配合IDA進行觀察,具體參考OD/IDA使用教程。
  2. 原始碼免殺加花,要靈活多變,不拘於形式。
  3. 行為免殺多嘗試,猜出殺軟攔截策略,能夠更有效的找到繞過方式。

道高一尺,魔高一丈

各路大神有更多的技巧和方式,請不吝賜教,相互交流。

我們不做壞事,但是可以瞭解做壞事的手段,更好的破壞防禦這些手段。

參考

  1. 模糊雜湊演算法的原理與應用
  2. VirTest5.0特徵碼定位器(開源)
  3. http://baike.baidu.com/link?url=ExY1OF52Md1Lk6G_WMZQf4fdswE2RSjuhPmXEYRwgVhkSIb-udf0AhK1cqbhmnDsnf21pUJSvHEWnMoxwZfZ5asnxw0W76Ew9t5ZIJRbLxO

我的部落格原文:https://anhkgg.github.io/aanti-virus




[推薦]看雪企服平臺,提供安全分析、定製專案開發、APP等級保護、滲透測試等安全服務!

相關文章