卡巴斯基复合特征码下的PCShare免杀

让我们看看卡巴斯基的特征码定位，我使用的版本是卡巴斯基Personal Pro 5.0.391。它使用了冗余病毒库，可以查杀很多的恶意程序和广告程序，当我们对一个木马进行CCL定位时，典型症状就是无论我们选择手动定位中替换字节大小的多少，最终的结果是无一例外全部被杀。剩下的只是文件头所在特征码被替换后的文件，但这些文件已经不能算是PE文件了，自然无法无法运行。那么CCL是不是就失效了呢，当然不是，首先我们要搞清楚原理，然后对症下药。卡巴斯基的查毒过程，首先是对文件进行PE有效性检测，当我们替换了PE文件头的特征码之后，任何杀毒软件都不会报警。（当然也无法运行）然后是采用了主辅特征码监测，当然此处的“主辅”不仅仅只有两段（我曾经对PCShare的PcHide.sys进行定位，定位了六段的主辅特征码，可见卡巴斯基对于这个驱动文件下了很大的功夫）。最后可能会猜测身份特征和0区特征，在我进行定位时，并没有发现这种情况。看来我们还是比较幸运的。
卡巴斯基首先对某个可执行文件进行PE有效性检测，然后进行主特征码检测，接着检测辅特征码，当有任何一段的主辅特征码符合，那么卡巴斯基就开始报警。有人说那样的话会不会引起误报率的上升呢，答案是不会的。我在对其进行定位时，发现当卡巴斯基开始检测时，所检测的主辅特征码中又包含了许多小段字节的特征码，也就是我上面所说的其它杀毒软件的特征码检测方式。这些小段特征码只要任意改一处，那么所对应的它的父特征码也就失效了，换句话说，卡巴斯基的主辅特征码又衍生了许多子特征码，这就是所谓的复合特征码。因此，当我们进行CCL定位时，由于你可能只替换了某个父特征码的子特征码，但是其它的父特征码还是会被卡巴斯基所检测到。 网管下载dl.bitscn.com
免杀知识
既然原理已经知道了，那么我们该怎么处理免杀呢，答案很简单，利用病毒/木马的变种检测。
小知识：我们知道，病毒有时候可以改变自己的代码，这就是变种。杀毒软件自然不能识别，然而随着时间的推移，杀毒软件的病毒库进行了更新，变种文件也就可以被杀毒软件所查杀了。我们可以这样表示，比如爱虫病毒的变种：lovegate.ac→lovegate.de→lovegate.hp。
其实卡巴斯基也利用了这种方法，当检测到不同的父特征码是，它所表示的木马名称也不相通。举个例子，我们的免杀对象PcShare中的Pcinit.exe文件，经过替换不同的父特征码后，出现了不同的名称：PcClient.ik→PcClient.le→PcClient.hp等。这里，我们就是利用逐个替换父特征码进行免杀的思路。当然其中还有许多技巧可以使你能够更快速的进行定位和特征码修改，下面我为大家演示一下Pcinit.exe文件的免杀处理。
实战免杀
首先准备工具：CCL2.8、OllyDbg1.1、Peditor1.7、Winhex。首先我们进行Pcinit.exe的手动检测，选择每次替换规定字节大小，字节大小设置为128字节。
文件区段选择处，我们什么也不填，直接替换整个文件，点击确定。使用卡巴斯基进行查杀。
看见了吗？其中有两个病毒名称和其它的不一样，分别是两个区段的PcClient.le和一个区段的PcClient.hp。这说明什么呢？说明我们至少有三段的父特征码，分别对应于PcClient.le和PcClient.hp和PcClient.ik，其中PcClient.le的两个子特征码分别是1980的80（十六进制)字节和1D80的80个字节。根据第一段的理论，我们只需要任意改变其中的一处，就能把PcClient.ik这段父特征码屏蔽掉，接下来让我们来进行精确度定位，设置精度为手动一个字节，填充的区段为1980的80个字节。接着进行查杀。 网管bitscn_com
我们可以看到，PcClient.le的子特征码已经出来了，为19F4-19FF。接下来我们进行反汇编。
看到了吗，这里是把三个ASCII字符进行赋值操作。我们首先先修改一下代码，ASCII代码2E,64,72,76分别对应字符“.drv”。 我们使用大小写转换，修改为“Drv”对应于2E,44,72,76。最后使用Winhex修改，保存退出。现在再用杀毒软件进行查杀，发现病毒名称已经变成了PcClient.le。这就说明我们成功的把变种PcClient.ik的父特征码给修改了。
我们再对已经修改了的文件进行128字节的手动检测，范围为整个文件，卡巴斯基查杀结果。
是不是和上面很像呢？好了，再一次重复操作，我们任意选择一段PcClient.hp的子特征码，这里选择1A80的80个字节，然后进行精确定位。反汇编之后还是使用大小写替换的方法，把2E,6C,6F,67的“.log”替换为2E,4C,6F,67的“.Log”。保存修改，可以发现病毒名称已经变成了PcClient.hp。
好了，我们又消灭了一个变种。那么有些人会问了，这样下去要到什么时候才算是完呢？我们需要一直这么做下去，直到再也发现不了新病毒的出现为止。我们再次使用128字节的手动定位，检测后可以发现已经全部是PcClient.hp了。删除掉病毒文件，留下的几个文件就是最终的免杀文件。
好了，区段2280-2300这80个字节被替换后，此文件达到了最终免杀。现在我们来对这个最后的区段作精确免杀。 网管网www.bitscn.com
最后定位的PcClient.hp特征码是7个字节。我们反汇编。
我们使用指令跳转法做个跳转，最后用杀毒软件查杀，发现不报警了。免杀成功！然后测试上线功能，同样正常。