本站原创现在很多杀毒软件都有云查杀的功能,所谓云查杀就是利用服务器强大的运算能力,再加上服务器里面众多的杀毒引擎,对上传文件的安全进行分析或判断.其实服务器里面的杀毒引擎,在分析判断上和本地的杀毒软件非常相回,比如通过修改输入表就可以对多款杀毒软件进行免杀.
删除旧的输入表
首先配置一个全新的木马服务端程序,当然如果木马有单独的母体文件,也可以直接对它进行免杀.接着运行查查工具REiD来查看输入表的位置.点击“文件”选项后面的“等”按钮,在弹出的窗口选择配置的服务端程序,这样PEiD就可以自动分析出服务端程序的相关信息.然后点击“子系统”旁边的选项按钮,获得服务端程序文件的PE信息内容.记录下“目录信息”中“导人表”这项,“RVA”和“大小”选项中的数值,即000078DC和00000028就可以了.
现在运行“lAT重建工具”软件,将配置的服务端程序通过鼠标,拖动到该软件的操作界面后进行释放.接着点击窗口下方的“导出IAT”按钮,在弹出的窗口保存服务端程序的IAT信息,因为一会我们会利用它来进行输入表的重建操作.然后在软件界面的“DLL名称”中,找到输入表的信息后点击窗口下方的“删除IAT”按钮,这样就可以将服务端程序默认的输入表进行删除.
清除输入表代码
接下来我们再利用编辑工具C32A载入,已经被删除输入表信息的服务端程序.我们接下来要做的事就是删除以前老的输入表位置代码,让服务端程序使用新的位置上的输入表信息,也就是我们常说的“旧的不去新的不来”.现在在程序窗口中点击鼠标右键中的“跳转”命令,在弹出的“跳转到”窗口的“OFFSET”栏目里面.输入原来的输入表地址000078DC后,点击“确定”按钮即可自动跳转到该输入表的位置.
通过鼠标从头到尾选择使用的老的输入表信息,然后点击鼠标右键选择“填充”命令,在弹出的窗口中选择“使用十六进制填充”选项,在填充框中输入“00”后点击“确定”按钮即可清除旧的输入表.删除完成以后点击工具栏中的“保存”按钮,这样就可以确认刚刚的删除输入表代码操作.接下来我们在C32A软件的操作窗口,找到一处新的输入表信息的输入地址,我这里选择的是00007910这个地址.
重建新的输入表
然后重新运行“IAT重建工具”软件,将删除了输入表代码的服务端程序,通过鼠标拖动到操作界面后进行释放.这时可以看到“IAT重建工具”软件中的信息都是空白,在“RVA转换”中的“文件地址”输入框中,设置刚刚找到的输入表的新地址信息,这样然后就会自动设置其他的选项.这里我们记下“RVA地址”中的信息,接着点击窗口下方的“重建IAT”按钮,在弹出的窗口选择第一步保存的服务端IAT信息.这时软件会自动弹出一个“重建引入表”的对话框,将刚刚记录的“RVA地址”中的信息粘贴到里面,最后再点击对话框中的“确定”按钮就可以了.
最后返回到“IAT重建工具”软件的主界面,在软件界面的“DLL名称”中如果看到KERNEL32.DLL这项,这样就说明服务端程序的输入表就重建完成.如果在“DLL名称”里面显示的是乱码,就说明服务端程序的输八表没有重建成功.这里善意的提醒一下大家,在使用了其他免杀方法免杀成功以后,最好再使用这个方法对输入表进行重建.这样就可以先于杀毒软件的定位,以免不同的杀毒软件定位的不同的输入表位置,让我们免杀起来困难不少还非常容易捧鸡.