杀毒软件新构想,解决木马新思路(转）

相信很多人都有汇编基础.现在网络上有多少人在靠着什么木马免杀,其实如果不是杀毒软件的多个缺陷,这种状况也就不存在了.杀毒软件我们给予了很高的期望,但是说句实话,除了咔吧和微点,其他的我根本不鸟,因为太烂了,国产的总体设计缺陷众多.
因为看过无数的免杀教程,还有很多避开杀毒软件的思路,很多时候我总觉得杀毒软件是一个扶不起的啊斗,为什么呢?我现在给出一个很具体的事例,这个示例,概括起来就一句话,杀毒软件没有找到木马的命根子.--------------对外通讯异常数据包,


大家都知道鸽子是很早开源的，也是被追杀最久的，那么鸽子的多个死穴是什么呢？
我经历了无数的不眠之夜，看了无数文章想到下面，作为纪念。
1 配置信息在尾部，并且开源版本版本不加密，被高启发一招击毙。
2 不能插入进程，这个被后来的改进了，但是有两个函数确实被用烂的，死穴。
3 没有驱动隐藏级别的端口隐藏，参考代码可以看到对NETSTAT命令下隐藏，但是直接被冰刃等看到。
4 文件未能隐藏。
5一旦启动(比如服务项和进程)挂，鸽子直接挂，无论是不是恢复了SSDT
6 图标被查杀，多个模块被杀。
7通讯没有隐藏。
8没有自动变形能力。
9耗费带宽资源上肉鸡有限制。
10因为现在正规远控的成熟，多种验证机制过不去。比如卡吧的证书。
看看还有很多人在练习黑防的免杀觉得，真的是螳臂挡车，改的快，死的也越快。
其实这么多缺点当中最致命的有两个一个是没有加密，另外一个是没有隐藏。
没有加密是如下几个方面
一配置信息要加密，通讯加密，自我加密。（第一个最容易，到黑防就做了，第二个挺难但是PCSHARE就是这个思路。最后一个最难，我不知道有没这种木马，但是某大牛说可以，但是要精通汇编）
二是隐藏。只有隐藏在最隐蔽的地方才能叫做木马。否则就是死马。（PCSHARE这点很牛，但是被追杀的实在是太厉害了。）

说完这些，你一定觉得我们输了，哈哈，办法总是人想的嘛，要输没那么容易的，
其实就本质来说，木马程序他就是可执行程序而已，要想逃离升天，还是有路的。
听我说来。
木马的天然敌人是杀毒软件。

我们来看主流的杀毒几个特点

一个利用文件数据结构分析特定的代码（就是老的特征码）
二利用木马通用特点，就是看几万几十万几百万木马最终的特点（其实就那么回事，配置信息，特定图标，特定函数，特定变种的共同性，例如编译DELPHI的版本信息，例如露在外面的比如注册表启动项，比如输入表）对于学院派的杀毒人员来说，他们的经验就是木马种类不多，变种多，变种再多，万变不离其综，就是修改一点点汇编，差异率极小，加壳不怕，有脱壳机，加的快，脱的也快，样本一分离，什么都出来了。

三至于所谓的主动防御则是层次高点的技术，但是说白了，其实就是拦截系统的API函数。或者对于程序的动作的完全分析，抽离了木马的特殊性，从一般性特征入手。很牛很X
好了
我们看对策
一现在主流免杀是对付第一层次，这个大多数人在不断的学，不断的看，可谓泛滥。
二被动式的应付第二层次，一出来的时候有用，用多了，就没用。
三研究的人很少，很有难度，但是技巧性强于通用性。
我们继续。我们现在手里有原代码。其实已经被淘汰了，不仅技术落后而且特征多多。

我们的主题就是如何把代码变的不是普遍性呢？
高级的说实话大家都不会。但是其实有时候高级的很有用
设想一
设置陷阱防止杀毒软件反编译。具体技术SEH， 加花，加高强度壳。
设想二
动作变异逃离动作监控，BAT技术性操作。
设想三
API变异过监控，自己写API。喀吧过滤SLEEP函数，进行高启发扫描，可以自己写SLEEP函数，过之
设想四
行为大变异，这个难度很高，但是效果是极好的。其实就是要在代码上下功夫
我的想法是代码中的多余动作全部去掉，必要动作自己写，暗桩成片，花花世界，低强度自我变形（动态加密或者能加密的都加密，例如配置信息）。对于通信和端口加密实在是吃不消。
但是操作起来很难，希望大家讨论下。

补充几点，通讯不加密被喀吧干掉的，只要针对外发数据包，直接搞死，鸽子其实还是很可怜的。360是监控服务，很死板，但是容易拦住很多人，微点是API的，瑞星把特征码发挥到了极致，也很勤快，进步有点，但是杀毒人员的辛苦程度难以想象。PCSHARE高级的地方就是通讯加密和驱动隐藏,不过现在没用啊.呵呵 (X星这小鬼估计又要研究发包数据特征码吧,发明了也没关系,不怕俺有办法,呵呵)

其实国产杀毒软件对通讯加密没有监控,一旦监控,分析出发包数据的指令要么停止对外发包,要么不接受指定数据包.那么即使中了病毒,没有办法控制,对于用户来说,那是相当的不错,因为中了养着也可以我发云安全,况且我们也来研究研究.因为最致命的威胁,被控制解除了,那么拥护还是安全的.
至于用烂的特征码查杀不做评论.因为个人觉得浪费机器资源. 核心把握在手里,这些家伙变成灰俺也认得,你说呢?