|
|
楼主 |
发表于 2008-3-11 14:22:19
|
显示全部楼层
|阅读模式
来自 广东省揭阳市
从别的地方转来的,很值得菜鸟们学习,努力吧.
一,前置知识:
1,什么是PE文件,PE文件的格式与构造,如何修改PE文件
2,什么是机器码,什么是汇编语言,ULraedit中如何修改PE程序
3,免杀必须掌握的汇编基础知识
4,主流杀毒软件查杀木马的方式(内存查杀,文件查杀,虚拟脱壳,主动防御,行为判断)
5,免杀的主流手段:
1)花指令的运用
2)特征码的运用
3)工具的运用(加壳,加密,与免疫)
4)修改加壳程序
5)技巧的总结
6)上述方式的综合运用
二,花指令:
1)什么是花指令,什么是零区域,如何找零区域,如何构造零区域
2)编写自己的花指令,利用现有的花指令(修改变形)
3)花指令加入的方式(1末端零区域加花 2去头加花 3加区加花 4反复加花)
三,特征码
1)什么是特征码,
2)如何定位特征码,
myccl定位原理与应用介绍,定位文件复合特征码,定位内存复合特征码
3)如何修改特征码,
文件复合特征码的修改,
内存特征码的修改
四,工具的运用
1)加壳,生僻壳,如rubbish2
2)免疫,阻止内存扫描,如007免疫
3)加密,如vmprotect虚拟加密,MSpacked加密
五,修改加壳程序
1)myccl,OC定位壳特征,ollyice修改壳特征
2)修改壳区段的入口点: reloc.exe的使用
六,修改PE头免杀,加深PE文件结构了解
1)回顾PE文件结构
2)PE头大小的确定
3)复制上移后新PE头的大小确定
4)修正PE头段大小,修正PE头起始位置
七,技巧的总结:
如入口点加1
如UPX壳在每个被压缩文件中的特定特征
如零区域的判断,要用nop替换掉后保存,看程序还能否运行
如做瑞星内存免杀要先做瑞星文件特征免杀。
如定位特征码的时候要先脱壳
八,综合运用(注意操作顺序)
方式:
程序加壳+加花+入口点加1+再加花
修改各种杀毒软件的文件特征码+内存特征码修改+加壳
内存特征码修改+加压缩壳+加壳的伪装
等等的排列组合。 |
|
发表于 2008-3-11 14:32:27
