最近开始研究免杀技术,首先强烈推荐《黑客免杀攻防》一书,作者写的很接地气,非常有实战性的一本教材。我看了之后,对其中的一些思想和用到的技术比较有共鸣,是这段时间难得坚持看的一本书。
免杀中有一种花指令技术,意思就是将可执行文件反汇编,然后加入自己写的一串看似没有意义的,但是可以打乱执行顺序,从而不被杀毒软件捕获的一种技术。按照书中开始实战,但是发现有问题。每次用ollydbg加载可执行文件后会发现文件的首地址每次都发生变化,下面是第一次加载文件,ollydbg自动停在入口点上 ,地址是00FA178A:
下图是第二次加载文件,ollydbg自动停在入口点上 ,可以发现入口地址明显发生了变化。
入口地址的随机变化直接影响到了花指令能否正常使用,因为不管我们添加多少汇编代码进去,最后还是得跳转回到程序的原本入口地址的,如果不是一个固定的值的话,可以说这条路就走不下去了。后来突然想到我的操作系统是win7,是不是因为系统的安全特性导致的,记得以前在《0day安全:软件漏洞分析技术》中看到过一些,google发现果然是,微软称之为地址随机化(ASLR),解决思路也很简单,因为win7地址随机化要能正常运行必须满足两个条件,其一操作系统支持(比如xp就不支持),其二,被添加花指令的程序在编译的时候就去掉这个选项(ASLR是个默认的编译安全选项),具体可以参考:http://www.freebuf.com/articles/system/15149.html?umynkbzrsrpldnrp。
由于可执行文件是我自己写的,所以我很顺利的在编译属性中找到了这个编译选项,直接变为否即刻,见下图:
至此一个问题解决了,但是追求真理的过程永远不可能一帆风顺,接下去又碰到了个问题,但是我至今不知道为什么。问题是这样的,当我用ollydbg插入可执行代码,并保存回源文件后,第一次打开源文件会发现原本我修改的那些代码完全变了个样子,根本不是我插入的样子了,下图是我第一次插入的代码:
保存到可执行文件后,重新打开就变成了:
然后再次打开后,再重复同样的操作就没有问题了,虽然对花指令免杀的实战没有多大影响,最多是流程上多了一步,但我很想知道这个背后的原因,有哪位高人知道的望指教!