对程序调用API变形的一点认识

我就从简单分析下怎样躲过杀毒软件的查杀说起吧

这是我以前的文章，据说这种技术可以过主动防御

.386
.Model Flat, StdCall
Option Casemap :None

Include windows.inc
Include user32.inc
Include kernel32.inc
IncludeLib user32.lib
IncludeLib kernel32.lib

.DATA
szDllKernel db 'user32.dll',0
szMessageBox db 'MessageBoxA',0

.DATA?
lpMessageBox dd ?
.CODE
START:
invoke GetModuleHandle,addr szDllKernel
mov ebx,eax
invoke GetProcAddress,ebx,offset szMessageBox
mov lpMessageBox,eax
push MB_OK
push 0
push 0
push 0
mov EAX,offset _END
push EAX
jmp lpMessageBox
_END:
invoke ExitProcess,0

END START

 上面的代码可用于反杀毒软件的病毒里，杀毒软件一般都用特征码判断是否调用了危险API，而上面的代码就是把CALL分解开来，实现了简单的代码变形
如果杀毒软件是靠判断JMP的目标是否为危险API的话，也可以写成这样躲过杀毒软件

 

.CODE
START:
invoke GetModuleHandle,addr szDllKernel
mov ebx,eax
invoke GetProcAddress,ebx,offset szMessageBox
mov lpMessageBox,eax
push MB_OK
push 0
push 0
push 0
mov EAX,offset _END
push EAX
;添加的代码开始
mov edi,edi
push ebp
mov ebp,esp
add lpMessageBox,5
;添加的代码结束
jmp lpMessageBox
_END:
invoke ExitProcess,0 
END START

 

杀毒软件一般是靠特征码判断病毒的，比如杀毒软件监视MessageBox这个函数的调用，只要调用这个函数杀毒软件就认为你有破坏系统的动机，所以我们就得想办法躲过杀毒软件的监视，但又不能不用这个函数那怎么办呢？
www.xbin.cn
了解调用过程的人都知道CALL指令就是先把下一条指令地址压栈然后在用JMP跳转到函数入口处，那我们的解决办法就出来了，我们可以自己完成这个调用动作，先把下一条指令压栈

 

mov EAX,offset _END
push EAX

 

在跳转到函数入口处

 

jmp lpMessageBox 

 

这样就骗过杀毒软件了，因为在二进制代码级别上，上面的代码和CALL指令的二进制是不同的，但实现的功能是相同的。

有的杀毒软件不光靠判断特征码，而且还判断跳转的目标地址，就是判断你的指令是否跳转到他认为危险的API入口处，当然我们也有办法骗过他，那就是把目标API的前几行代码在自己程序里实现，然后在跳转到API函数中去继续运行。比如我是把MessageBox的前3行代码在自己的程序里实现，然后在条到MessageBox的第4行里继续运行。
www.xbin.cn
这样跳转到目标入口地址就不是API函数的入口了

如果杀毒软件是靠判断是否跳转到一个指定的区域的话，那还有一个更毒的招，那就是分配一个动态内存，把API函数代码考到自己的2G空间里运行