一篇关于360四引擎免杀文章

  • 发表于
  • 周边

60过完年了,双引擎不算又出了个四引擎。对于双引擎还是很好免杀的,但是关键的难度是四引擎了,下面说说最近过360的一些经验,不保证100%有效,但是于360杀毒很无语的菜菜(我也是菜菜)来说,应该还是有帮助的。

先说说360双引擎:
1.首先建议直接做DAT文件的免杀,如果是鸽子的话,可以生成服务做免杀(方便测试以及……嘿嘿)。然后删除掉鸽子的配置信息,修改下后缀就可以把EXE改成DAT。这样还有一个好处是,对于金山的数据流查杀杀配置信息,这样是可以过的。(当然你预处理做的好可以直接免杀)。

2.360的双引擎,一般来说加一个版本就可以过,比如PPS什么的。我个人感觉加一些系统文件的版本还是被杀的,我的建议是加一些非系统文件的版本进去,就像是装机软件,也是可以的。(PS:还有更换图标)

3.360的双引擎想要直接秒杀的话最好的方式是无特征码免杀,可以整个修改加密软件(壳)的流程,这就看你的汇编底子了,一般来说把NSPACK或者ASPACK,关键是VMP(早期版本,新版本你能改的出来就怪事)修改部分流程就可以秒杀360,多重壳(建议不超过两层,如果壳加多了,那么高启发不是吃白饭的,过了360,可能NOD小红伞就不过了,孰轻孰重,自己掂量)也是可以秒杀的。比如说我之前拿到一个鸽子,已经被杀了,但是加了一个北斗4.1,没有任何处理就又免杀了,但是对DAT加壳处理的话,一定不能勾选压缩资源,不然生成Server.exe会出错。(修改入口的效果也会不错)

4.定位360双引擎时候的特征码问题,老生常谈了吧,听雪饮枫这位免杀基础很好的同学在写过死循环的时候也提到过,就是对于MYCCL的设置(貌似现在定位360都用MuiliCCL了吧),以及对于输出位置以及小马本身的一些问题。详细大家可以去凡窝看看。在这里就简单说一下,也是从听雪那里听到的定位NOD的一个方法,对于360同样有特效。

(1).MYCCL反向定位,填充00,起始位置就在第一区段开始位置,生成块数15以内(越小越好)

(2).特征码较多是自然的,但是真正的就没几个,遇到PUSH什么的先留着,遇到字符串也先留着(据我的个人经验判断,这些特征码一般是假的,),遇到CALL、JMP的就通通使用跳转法(就我的经验,跳转次次都是成功的,如果一次错误,重新再试,理论和我个人的实践上都是百分百成功的)

(3).改了还杀,继续定位,一直定到只有一两个的时候才开始考虑字符、PUSH什么的其他的特征码,如果改了还杀,就手动进入C32,找到输入表一个函数、一个函数地去填充,看看到底是哪个函数(就我的经验,如果没有源码,找到函数后直接搜索调用,调用的全部跳转掉,就能成功免杀)基本就是这些了,如果遇到其他的情况就要灵活应变,我就从来没遇到其他情况过了- -这里的这个“我”指的是小曾,是小曾给听雪老贼说的一个方法,对于NOD32也有效。

5.一个过360双引擎的方法,DAT文件去PE头然后加花(算是预处理),然后定位特征修改,最后加壳修改。

6.一个常识,360用的BD的引擎,换句话说,过了BD就等于过了360,过了360等于过了BD。

下面就说说360的四引擎:
1.360的四引擎关键杀的地方时哪里呢?是输入表!别妄想通过定位来找到输入表的位置,你只能找到全部输入表之后,一个一个的填充测试。当然有的时候360杀的不至一个输入表函数,但是不用担心,对于杀毒软件的特性来说,一个文件只存在一个特征码不会报毒(但是有的会报可疑,比如卡巴),因为EXE文件有多少?肯定会有部分EXE不属于病毒文件但是包含了特征,杀毒软件出于减少误杀率的考虑,只有出现两个,或者两个以上让杀毒软件足以确认EXE是病毒的时候,才会报毒。所以,你填充掉一个输入表函数,如果刚好是360四引擎杀的函数时,不会报毒的。你也不用去费劲再去找另外一个函数。(很可能……360杀一个函数组也不一定……)

2.一个常识,定位肯定不能过四引擎。

3.还是一个常识,无特征码别指望过四引擎(即使加密了输入表)

4.听雪定位360四引擎的一个方法,加一个版本(比如QQ,然后定位)。这样一般是可以定位的,但是也有部分不行,视马而定了。

5.接下来是一个在FANS上面看到的方法,很挺有用的,大意是:360不止查杀输入表(作者全部00掉输入表测试过),360可能还杀PE头部。只修改输入表是没用的,还有可能杀程序的乱码(可能配置信息)。而且,4引擎不吃图标,不吃版权,不吃数字签名。缺点是没有主动防御。PS:完全过掉360提示的马有机会不做任何处理秒杀360杀毒,注意,是有机会。

6.听说破坏指针可以过。

7.纠正一个错误观点,过了360四引擎就过了云查杀纯属扯淡。

8.360杀的是函数。

9.一个待考证的说法:360四引擎特征码不能通过90 20等无效指令修改,只可以通过汇编。

10.免杀四引擎有效方法:首先定位特征码,去除掉QVM查杀,另外三个引擎特征码过掉之后,你再勾选四引擎查杀看看,肯定是被杀的。那么,现在就破坏掉他的输入表,看看免杀么。80%免杀了!如果还是不免杀的话,那么就继续定位特征码,然后修改。(勾选了QVM查杀的)。经过准确测试,鸽子(黑防,2.03,1.23),白金,Ghost,可以过的。再谢下听雪同学贡献的方法。

其实,对于360四引擎的免杀方式有很多,真的有很多,只是大家不会综合运用。多种对输入表的免杀手法可以混合着用,对四引擎也是有特效的!对于四引擎还有一种方法是函数外置法,完全可以过掉四引擎,但是木马体积会增加很多,上2M。所以说,这个方法暂时用于研究。关键是对小马进行无特征码处理,这个才是过四引擎的关键。