免杀技术常识
此类问题问的人多,故搜集一点知识 供调查。一.关于免杀的起原
为了让我们的木马在各类杀毒软件的要挟下活的更久.
二.什么叫免杀和查杀
可分为二类:
1.文件免杀和查杀:不运转顺序用杀毒软件进行对该顺序的扫描,所得后果。
2.内存的免杀和查杀:判别的办法1>运转后,用杀毒软件的内存查杀功用.
2>用OD载入,用杀毒软件的内存查杀功用.
三.什么叫特征码
1.含义:能辨认一个顺序是一个病毒的一段不大于64字节的特征串.
2.为了削减误报率,普通杀毒软件会提取多段特征串,这时,我们往往改一处就可到达
免杀结果,当然有些杀毒软件要还改几处才干免杀.(这些办法今后具体引见)
3.下面用一个表示图来详细来调查一下特征码的详细概念
四.特征码的定位与道理
1.特征码的查找办法:文件中的特征码被我们填入的数据(比方0)交换了,那杀毒软
件就不会报警,以此确定特征码的地位
2.特征码定位器的任务道理:原文件中局部字节交换为0,然后生成新文件,再依据杀
毒软件来检测这些文件的后果判别特征码的地位
五.看法特征码定位与修正的东西
1.CCL(特征码定位器)
2.OOydbg (特征码的修正)
3.OC用于核算从文件地址到内存地址的小东西.
4.UltaEdit-32(十六进制编纂器,用于特征码的手工精确定位或修正)
六.特征码修正办法
特征码修正包罗文件特征码修正和内存特征码修正,由于这二种特征码的修正办法
是通用的。所以就对当前盛行的特征码修正办法作个总节。
办法一:直接修正特征码的十六进制法
1.修正办法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.
2.合用局限:必然要准确定位特征码所对应的十六进制,修正后必然要测试一下能
否正常运用.
办法二:修正字符串巨细写法
1.修正办法:把特征码所对应的内容是字符串的,只需把巨细字交换一下就可以了.
2.合用局限:特征码所对应的内容必需是字符串,不然不克不及成功.
办法三:等价交换法
1.修正办法:把特征码所对应的汇编指令敕令中交换成功用类拟的指令.
2.合用局限:特征码中必需有可以交换的汇编指令.比方JN,JNE 换成JMP等.
假如和我一样对汇编不懂的可以去查查8080汇编手册.
办法四:指令挨次互换法
1.修正办法:把具有特征码的代码挨次交换一下.
2.合用局限:具有必然的局限性,代码交换后要不克不及影响顺序的正常执行
办法五:通用跳转法
1.修正办法:把特征码移到零区域(指代码的闲暇处),然后一个JMP又跳回来执行.
2.合用局限:没有什么前提,是通用的改法,激烈建议人人要把握这种改法.
七.木马免杀的综合修正办法
文件免杀办法:
1.加冷门壳
2.加花指令
3.改顺序进口点
4.改木马文件特征码的5种常用办法
5.还有其它的几种免杀修正技巧
内存免杀办法:
修正内存特征码:
办法1>直接修正特征码的十六进制法
办法2>修正字符串巨细写法
办法3>等价交换法
办法4>指令挨次互换法
办法5>通用跳转法
木马的免杀[学用CLL定位文件和内存特怔码]
1.起首我们来看下什么叫文件特征码.
普通我们可以如许以为,一个木马顺序在不运转的状况下,用杀毒软件查杀,若报警为病毒,阐明存在该查毒软件的文件特征码的。
2.特征码的二种定位办法.
手动定位和主动定位
3.文件特征码的定位技巧.
凡间用手动确定大局限,用主动准确定位小局限.
下面辨别用瑞星和卡巴为例,实例演示并连系手动定位和主动定位二种办法来精确定位文件特征码。要定位的对像以下载者为例。
用卡巴来定位文件特征码
⑴.手动定位:
1 翻开CLL
2 选择设置中的 总体参数 ,,,,,选中文件特征码手动定位,,,,以及途径
3选中设置中的 手动参数,,,,,选择交换方法 选中,,,总共生陋习定个数的文件,,,生成个数为1000
4选择文件中的 特征码检测,,文件特征码检测,,,翻开顺序(要定位特证码的顺序)
5在弹出的PE窗口中 直接点确定 ,之后弹出的窗口在点确定
6然后等CLL生成终了之后用杀毒软件进行查杀
7在CLL中选 操作,后果定位,选中方才用来寄存检测后果的文件夹
8在CLL中选
文件免杀之加花指令法
一.花指令相关常识:
其实是一段渣滓代码,和一些乱跳转,但并不影响顺序的正常运转。加了花指令后,使一些杀毒软件无法准确辨认木马顺序,然后到达免杀的结果。
二.加花指令使木马免杀制造进程详解:
第一步:装备一个不加壳的木马顺序。
第二步:用OD载入这个木马顺序,还记下进口点的内存地址。
第三步:向下拉滚动条,找到零区域(也就是可以刺进代码的都是0的空白当地)。并记下零区域的开始内存地址。
第四步:从这个零区域的开始地址开端一句一句的写入我们预备好的花指令代码。
第五步:花指令写完后,在花指令的完毕地位加一句:JMP 方才OD载入时的进口点内存地址。
第六步:保管修正后果后,最终用PEditor这款东西翻开这个改正后的木马顺序。在进口点处把本来的进口地址改成方才记下的零区域的开始内存地址,并按使用更改。使更改生效。
三.加花指令免杀技能总节:
1.长处:通用性十分不错,普通一个木马顺序参加花指令后,就可以躲大局部的杀毒软件,不像改特征码,只能躲过某一种杀毒软件。
2.缺陷:这种办法照样不克不及过具有内存查杀的杀毒软件,比方瑞星内存查杀等。
3.今后将加花指令与改进口点,加壳,改特征码这几种办法连系起来夹杂运用结果将十分不错。
四.加花指令免杀要点:
因为黑客网站发布的花指令过不了一段工夫就会被杀软识别出来,所以需求你本人去汇集一些不常用的花指令,别的当前还有几款软件可以主动帮你加花,便利一些不熟习的伴侣,例如花指令添加器等。
五.经常见花指令代码
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
1。 VC++ 5.0
PUSH EBP
MOV EBP,ESP
PUSH -1
push 515448
PUSH 6021A8
MOV EAX,DWORD PTR FS:
PUSH EAX
MOV DWORD PTR FS:,ESP
ADD ESP,-6C
PUSH EBX
PUSH ESI
PUSH EDI
jmp 跳转到顺序本来的进口点
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2。c ++
push ebp
mov ebp,esp
push -1
push 111111
push 222222
mov eax,fs:
push eax
mov fs:,esp
pop eax
mov fs:,eax
pop eax
pop eax
pop eax
pop eax
mov ebp,eax
jmp 跳转到顺序本来的进口点
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
3。跳转
somewhere:
nop /\"胡乱\"跳转的开端...
jmp 下一个jmp的地址 /在邻近随意跳
jmp ... /...
jmp 原进口的地址 /跳到原始oep
--------------------------------------------------
新进口: push ebp
mov ebp,esp
inc ecx
push edx
nop
pop edx
dec ecx
pop ebp
inc ecx
loop somewhere /跳转到上面那段代码地址去!本文来自江南网盟www.jnwm.org
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
4。Microsoft Visual C++ 6.0
push ebp
mov ebp,esp
PUSH -1
PUSH 0
PUSH 0
MOV EAX,DWORD PTR FS:
PUSH EAX
MOV DWORD PTR FS:,ESP
SUB ESP,68
PUSH EBX
PUSH ESI
PUSH EDI
POP EAX
POP EAX
POP EAX
ADD ESP,68
POP EAX
MOV DWORD PTR FS:,EAX
POP EAX
POP EAX
POP EAX
POP EAX
MOV EBP,EAX
JMP 原进口
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
5。
在mov ebp,eax
后面加上
PUSH EAX
POP EAX
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
6.
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
mov eax,403D7D
push eax
retn
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
push ebp
mov ebp,esp
push -1
push 00411222
push 00411544
mov eax,dword ptr fs:
push eax
mov dword ptr fs:,esp
add esp,-6C
push ebx
push esi
push edi
add byte ptr ds:,al
jo 进口
jno 进口
call 下一地址
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
7.
push ebp
nop
nop
mov ebp,esp
inc ecx
nop
push edx
nop
nop
pop edx
nop
pop ebp
inc ecx
loop 恣意地址
nop
nop
———————————————
nop
nop
jmp 下一个jmp的地址 /在邻近随意跳
nop
jmp 下一个jmp的地址 /在邻近随意跳
nop
jmp 下一个jmp的地址 /在邻近随意跳
jmp 进口
文件免杀之加壳与改进口点法
一.壳的相关常识:
1.壳的分类:紧缩壳和加密壳
2.壳的效果:维护和文件免杀
二.加壳免杀的几个弱点
1.不克不及躲过像瑞星这类具有内存查杀功用的杀毒软件。
2.普通不克不及躲过卡巴的查杀
由于卡巴采用了一种叫虚拟机技能。起首把加了多层壳的木马顺序在虚拟机情况下运转一下,如许木马顺序就会现出原本面貌,如许无论你加了几多层壳,在运转后顺序照样要表露自已的。所以人人在加壳测试进程中也会发现,能过其它的多种杀毒软件,但卡巴一直很忧伤,其缘由就是卡巴的虚拟技能在作祟。
三.是不是目前的加壳免杀已落空意义
每种免杀技能都有他的缺陷和长处,比方加壳,起首要找到比拟生僻的壳,并且能够今后很快被查杀.还也不克不及过内存查杀,也很忧伤卡巴.但它操作便利,通用性好加一个壳,能够过好几个杀毒软件.又比方修正特征码.起首操作比拟烦,要定位,要修正,改好后还要测试能否能正常运用.还针对性十分强.只能针对某一种杀毒软件的免杀,各类杀毒软件的特征码都纷歧样,所以要躲过多种杀毒软件查杀,就要辨别定位,修正每种杀毒软件的特征码.如许是相当费事的.但它可以经过修正特征码来躲过瑞星内存和卡巴的查杀.
所以今后免杀技能会把加壳,加花指令,改进口点,改特征码这几种办法连系起来运用.抵挡瑞星的内存查杀,我们可以修正内存特征码,抵挡卡巴的虚拟机技能.我们可以修正卡巴的特征码.在加上加冷门壳,加花指令,改进口点.综合这些办法就可以打造金钢不死之身!
四.加壳免杀实例演示局部:
1.加生僻壳免杀:实例演示
2.加假装壳免杀:实例演示
3.多重加壳免杀:(用木马彩衣进行多重加壳)
五.改进口点免杀法:
1.改进口点免杀道理:杀毒软件普通都检测病毒复原之后的代码,并且普通都把代码段开端的前40个字节作为特征值.进口点改动了,阐明也就毁坏了特征码,如许就到达免杀的结果.
2.改进口点免杀办法一:进口地址加1法.
操作步调:
第一步:装备一个无壳的木马效劳端.
第二步:用PEditor翻开木马顺序效劳端.在进口点处的地址加1.然后点使用更改就可以了.
谈论:该办法对分歧木马顺序,有分歧的结果,其它杀毒软件普通都可以躲过,但有些顺序改正后照样被卡巴查杀.还也不克不及过内存查杀,但今后连系加花指令,加壳等等办法,结果将十分不错.
3.改进口点免杀办法二:变换进口地址法.
操作步调:
第一步:用OD载入无壳木马顺序效劳端.
第二步:把进口点的开端二句代码(大都为push ebp mov ebp,esp).移到零区域也是就空白区域当地.并记下零区域的内存地址.还在后面加一句跳转敕令:JMP 到第三条指令的地址.
第三步:然后批改并保管,最终用PEditor翻开该顺序.把进口点改成方才在零区域记下的内存地址.
谈论:该办法结果比如法一要好.经测试,用办法一改正后被卡巴查出来,用办法二就查不出来. 今后可以连系加花指令,加壳,改特征码,打造金钢不死之身!
采用以上的办法可以躲过不少杀毒软件的追杀,而且便利疾速,又很简略,所所以免杀里十分首要的伎俩,然则必然要反省文件是不是可以正常运转。
免杀新技能[虚拟机加密免杀]和[壳中改籽]
一 虚拟机加密免杀
最新免杀技能——虚拟机加密代码使用并非传统的修正特征码,也不是修正进口点+花指令,更不是
加壳紧缩!是最新的一种免杀技能!借于这种技能你可以千变万化,是免杀对新手来说更为简略!
人人对虚拟机vmprotect能否有所调查,这个是最新的加密东西!可以加密PE文件中任何一句或一段代码
天然可以给我们用来免杀了!
免杀东西:vmprotect1.07或1.06 PEID UPX
免杀步调:道理阐明:加密区段代码使杀毒软件无法辨认!你可以找特征码,找到后加密特征码的代码!
用PEID检查进口点:假设这里的进口点是0007DB74 基址是 00400000
3.用虚拟机vmprotect翻开要免杀的文件,添加地址0047DB74=00400000+0007DB74 基址+进口点
4.选代码区域->转存->F9保管
5.测试运转->可以成功运转
6.用UPX紧缩一下,减少体积,OK 免杀成功
总结:虚拟机加密代码是比拟新的免杀技能,可以和其他免杀技能有机的调集在一同,让你的木马酿成金刚不坏.人人要多多把握。
二 壳中改籽技能免杀
这种免杀很少有人用,所以免杀结果十分好,各大黑客网站也很少见到引见,这里我把他人做黑洞免杀的文章发到这里,供人人研讨.估量是浩天写的文章
先讲一下为什么这种技能叫“壳中改籽”。装备一个黑洞的效劳端,然后用PEiD.exe来检查它是用什么加的壳,查到是UPX加的失常壳,顺序的区段都给埋没了,那么先得给黑洞效劳端脱壳。用 upxfix.exe翻开它,然后在Decompress method里面选择5,点击fix,如许就修复了。再用PEiD.exe查一下,看目前可以看到区段了吧。
为什么我再三提到这个区段呢?其实它就是文章的重点,也就是壳里面的籽。持续脱壳,用UPXShell翻开修复好的黑洞效劳端,点击解紧缩,完成后我们可以看到顺序由本来的201 kb酿成了506 KB ,大了一倍多。
有人能够要问为什么必然要给它脱壳呢?直接修正不成以吗?其实首要是由于黑洞的效劳端里还有一个用做键盘记载的dll文件,它也要做免杀处置。用 Resscope1.92翻开黑洞的效劳端,这个可是绝好的exe资本编纂器啊,先选择dllfile里面的getkey,然后点击文件→导出资本,如许dll文件就导出来了。它也是用upx加的失常壳,由于区段被加密了,所以我们也要给它脱壳,再加壳。脱壳的进程和先前脱黑洞效劳端一样先用upxfix.exe翻开它,然则这里留意在Decompress method里面,不要选择5,而是选择2修复,否则的话就脱不了壳了。
接着用UPXShell解紧缩,目前dll文件的巨细由本来的11 kb酿成了18.5 kb,然后再用UPXShell从新给它加上壳。
三、修正upx壳里面的籽
把UPX加过壳的dll文件,用PEiD.exe翻开检查,这里有几个数据需求我们记载,等下和修正后的文件做比拟用。
先辨别把顺序进口点:000C220、文件偏移量:00002620 ,记载下来,然后点击检查EP区段,在区段检查上面再点右键选择cave查找器,把upx壳区段upx1的RVA:0000C3B5、 偏移:000027B5等参数也记载下来。
要害的时辰到了,reloc.exe闪亮上台。由于reloc 是一款敕令下的东西,所认为了操作便利,我建议人人写一个bat文件和reloc放在统一目次。我们开端记载的数据目前派上用场了,编纂bat文件花样如下:
reloc 待修正顺序 $顺序进口 $文件偏移量 $壳的区段进口 $区段偏移 参数
那么对应我们的黑洞键盘记载dll文件所记载的数据,这个bat就应该如许写:
reloc 键盘记载.dll $C220 $2620 $C3B5 $27B5 5
数据前面的零不要写到bat里面,别的最终面的这个参数人人留意,其实它是设置修正时的偏移量的,普通dll文件选择5,exe文件选择5-9之间的数,普通选择6就好了。
设置完了,我们运转这个bat文件,开端修正。终了之后我辨别用国内和国外最强的杀毒软件江民、诺盾和卡巴斯基对键盘记载.dll进行扫描,它们均未发现病毒,我们的木马成功躲了曩昔。用PEiD.exe从新翻开,可以发现PEiD曾经无法辨别键盘记载.dll是什么壳了,把本来记载的几个数据和目前比照一下发现顺序进口和文件偏移量没有,而壳区段进口和区段偏移却改动。
飘舞的风在上一期的文章里面说道:“peidv0.92是经过每个顺序的开首几十个字节来比拟是那种壳。”,看来不只仅如斯,peidv0.92还把壳的区段进口开首的几十个字节也作为了用来判别壳的类型的特征代码,杀毒软件也是如斯,如许简略修正一下我们的木马就免杀了。
着把这个曾经修正好的dll文件,导回到黑洞的效劳端,办法和导出dll是一样的,我就不再讲述了,然后把它用UPXShell再次加壳,加壳后的巨细为200 kb。
目前可以开端我们的第二次免杀之旅了,相同用PEiD.exe把顺序进口、文件偏移量、壳的区段进口、区段偏移,等数据记载下来,写入bat文件。
我的bat是如许写的:
reloc 1.exe $88620 $30A20 $887A3 $30BA3 6
我前面曾经讲过了,修正exe文件的时分,参数选择5-9之间的数,普通选择6就好了。目前运转bat文件,黑洞效劳端的免杀就悉数完成了。用PEiD.exe检查,显示的是“Nothing found”看来PEiD曾经不看法它了,再用江民、诺盾和卡巴斯基查杀,均显示无病毒,呵呵,诈骗成功。
四、结语
经由这么简略的修正今后结果长短常好的,置信今后如许的免杀技能将会成为主流技能,由于它简略适用。
剖析它完成免杀的道理,不难看出换一个角度考虑问题的主要性,从壳的修正转到壳中籽的修正,不克不及不说这是一种立异,
它使木马的免杀之路变宽了。最终感谢 “伴侣的家”供应一款如许优异的东西。假如人人可以把这种技能和我前面提到的别的三种连系起来运用,置信它将是无懈可击的
免杀新技能之OD一半定位法
不晓得是那位牛人想出来把这办法用到木马免杀上,这个办法让良多不会用偏移定位特怔码的伴侣也可以很轻易把握到特怔码的地位,真实是很高超又很简略的免杀好办法.这里我就依据他的办法具体引见OD一半定位法
所谓OD一半定位法很简略,就是用OD载入需求做免杀处置的文件,用NOP填充一半的代码然后保管,接着用杀毒软件查毒,假如有毒就在把别的一半用NOP填充,假如没报毒就证实特怔码就在方才填充的那一半,然后又对那一半进行1/2的NOP填充,如许不时减少局限,很轻易就找到需求修正的代码局部。假如是做内存免杀就把NOP填充好的文件用OD翻开进行内存杀毒。怎样样?是不是很轻易把握的办法?
但是需求留意的是新手用这个办法最好每做一步都把NOP填充的开首和终局局部的地址用纪事本保管,以免一旦遗忘又从头来.
假如特怔码不止一处,你就要大致定位到有特怔码这一大段,然后把这一段的一半用NOP填充而且保管,接着翻开保管的文件对别的一半持续方才开端的步调,如许很快就可以定位出几处特证码地点的地位.
照样那句话,纯熟就好,别的需求留意填充后查出的病毒名字有没有改动,假如改动就证实你填充的那段存在特怔码,如许可以免却不少工夫。
文件免杀之文件特征码修正五大法宝
办法一:修正字符串巨细写法
1.修正办法:把特征码所对应的内容是字符串的,只需把巨细字交换一下就可以了.
2.合用局限:特征码所对应的内容必需是字符串,不然不克不及成功.
办法二:直接修正特征码的十六进制法
1.修正办法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.
2.合用局限:必然要准确定位特征码所对应的十六进制,修正后必然要测试一下可否正常运用.
办法三:指令挨次互换法
1.修正办法:把具有特征码的代码挨次交换一下.
2.合用局限:具有必然的局限性,代码交换后要不克不及影响顺序的正常执行。
办法四:通用跳转法
1.修正办法:把特征码移到零区域(指代码的闲暇处),然后一个JMP又跳回来执行.
2.合用局限:没有什么前提,是通用的改法,激烈建议人人要把握这种改法.
办法五:等价交换法
1.修正办法:把特征码所对应的汇编指令敕令中交换成功用相似的指令.
2.合用局限:特征码中必需有可以交换的汇编指令.交换后指令功用要不变比方JN,JNE 换成JMP,这里要对汇编要比拟熟习,读懂指令后可以交换功用一样的指令。也可以去查8080汇编手册[核算机专栏里有]
实战特怔码免杀
第一步:起首用内存定位法来精确定位瑞星内存特征码的详细地位
第一阶段:主动参数中,生成文件距离秒数设为4,最小交换字节数设为100字节。(首要用于大体定位内存特征码)
第二阶段:主动参数中,生成文件距离秒数设为4.最小交换字节数设为4字节。(首要用于精确定位内存特征码)
第二步:修正特征码
用OD翻开文件,找到特怔码地点地位,而且判别合适用那种办法修正,假如对办法不太熟习,而且特怔码不止一处,那就需求你改一处就保管而且在虚拟机里实验可否正常运转[虚拟机可是做免杀的必备东西,激烈建议你装置,由于你不成能就在本人的机械上运转木马吧?在说也不成能在你机械上还装置N种杀软,那你机械不慢死,更主要还可以用来实验他人供应的软件有没有木马]
木马免杀技能之独门特技
特技一:疾速搞定瑞星文件查杀
操作步调:
第一步:用OD载入,来到顺序的进口点。
第二步:把进口点的第一句PUSH EBP 改成POP EBP 然后保管就可以躲过瑞星的外表查杀。
特技二:疾速定位与修正瑞星内存特征码
道理:由于当前的内存查杀杀毒软件,只要瑞星才干要挟到我们的木马。也就是说只需搞定瑞星的内存查杀,那我们的木马在内存就疏通无阻了. 但因为技能缘由,当前瑞星的内存特征码在90%以上把字符串作为病毒特征码,
如许对我们的定位和修正带来了便利.
操作步调:
第一步:起首用特征码定位器大致定位出瑞星内存特征码地位.
第二步:然后用UE翻开,找到这个大致地位,看看,哪些方面临应的是字符串,用0交换后再用内存查杀进行查杀.直到找到内存特征码后,只需把字符串的巨细写交换就能到达内存免杀结果.
特技三:若何疾速躲过诺顿的查杀
诺顿的查杀特点:人人有时分会发现,经过改特征码,加花指令,改内存特征码,等等,卡巴,江民,金山,瑞星都过了,但无论若何都过不了诺顿,这时分是不是感应很疑惑.其实诺顿特征码的界说和其它杀毒软件纷歧样,其它杀毒软件的特征码都在代码段而只要它把特征码界说在PE头文件里面.而在头文件里面,普通都用字符串作为病
毒特征码,晓得了道理,就有下面的二种办法来应付.
办法一:只需把头文件的字符串的巨细字交换一下就可以搞定了.
办法二:有二款紧缩软件WinUpack和斗极星,经由他们的紧缩,会把我们的木马顺序的头文件改的改头换面.所以把我们的木马做好其它的杀毒软件的免杀后,再用这二款紧缩软件的紧缩就可以躲过诺顿的查杀.
特技四:一个不太通用的免杀办法
免杀办法一:把进口点第三句开端的几行(20字节内)汇编代码移到零区域去执行,也到达必然的免杀结果.
特技五:用VC++加了花指令后进口点下移法
操作进程:加花指令后,可以把进口点下移好一位,如许可以进一步到达免杀结果.
一.木马免杀综合方案
修正内存特征码--->1>进口点加1免杀法 1>加紧缩壳1>--->再加壳或多重加壳
2>转变进口地址免杀法 2>加生僻壳--->2>加壳的假装.
3>加花指令法免杀法 3>加紧缩壳3>--->打乱壳的头文件
4>修正文件特征码免杀法
以上免杀办法可以自在组组成多种分歧的免杀方案。
二.常用免杀方案
1.实例完全免杀方案一:
内存特征码修正+加UPX壳+机密举动打乱壳的头文件。
所需东西:UPX加壳东西,机密举动
2.完全免杀方案二:
内存特征码修正+加花指令+加紧缩壳
3.完全免杀方案三:
内存特征码修正+加紧缩壳+加壳的假装或多重加壳
4.完全免杀方案四:
内存特征码修正+去头变换进口点地址+紧缩壳
5.完全免杀方案五:
内存特征码修正+修正各类杀毒软件特征码+紧缩壳
6.完全失常免杀方案六:
内存特征码修正+加花指令+去头变换进口点+加UPX壳+用机密举动打乱壳的头
文件
三.处理加花指令后运转犯错问题
1.剖析其缘由:我们加花指令时,普通都找代码段最终面的空白代码当地也就是所谓的零区域,然后把我们预备好的花指令填进去,然后一个跳转跳到进口点。然则我们木马的体积比拟大,从进口点到最终面零区域的距离比拟远,所以从低部跳到头部因为距离较远就十分轻易犯错。
3.新研讨的免杀办法完满的处理了该问题:我把它取名为:中心过渡跳转法
实例演示:中心过渡跳转法来修正灰鸽子V1.22版或VIP2.0版。
中心过渡中转法完成道理:起首我们在代码段的中心地位,备份局部代码,然后把我们要添加的花指令写进去,写完后,再跳到零区域,在这个零区域填入方才我们备份好的代码.填完后又要跳回填入花指令的生面.总之一句话:把花指令填在代码中心,被花指令掩盖的代码移到零区域去执行,然后又要跳回来.最终把进口点改成花指令的首地址.如许就算完事了.
4.该新的免杀技能长处:以前的花指令只能填到零区域,也就是说进口点普通都比拟后面,所以有时会被卡巴查杀,但有了这种新办法后,顺序进口点就变的十分灵敏,可以定位在代码段的任何地位,每定位一个新的进口点就是一种新的免杀方案.并且这种办法抵挡卡巴也很有用.把进口点放到代码段的中心,是杀毒软件切切想不到的,所以免杀结果是最好的.还他处理了因为跳转太远使顺序无法运转的缺陷,所以这种办法是相当完满的免杀办法.但愿人人灵敏运用。
我喜欢啊,请继续 支持你 辛苦!辛苦!!!
页:
[1]