|
|
楼主 |
发表于 2008-5-18 15:06:51
|
显示全部楼层
|阅读模式
来自 江苏省连云港市
题目你没有看错,确实是从加花开始骂免杀。为什么要骂呢,其实是因为最近上课无聊,于是用手机上QQ乱窜。不是是我哪根神经错位,就找了个教免杀的闲聊起来(别问我怎么让他跟我聊的..)。这一聊是不要紧,着实是把我从椅子上吓到了地上。
感觉写了整100字,还没点正经的,各位在X看帖的看官一定是不耐烦我为什么还不开始从加花骂免杀呢,其实呢,我必须说我骂的不是免杀这种技术,而是有些骂自以为是的家伙在网上冒充高手,误导别人。现在呢我就把这些人的经典误导发布出来,也是给各位一个提醒,下次再遇到哪个\"天才\"说这些,咱们也可以,嘿嘿.....
1. 区段名是标示一个节的名字,也仅仅是一个节的名字。(这23个字咱们叉子一定要牢牢的记住。)而真正决定区段的是它的属性。可能大家都遇到过在加花指令的时候,遇到一些地方不能写入花指令,然后就去劳神费心加一个大大的区段。而我找到的那位自称的高在我提出这个问题以后,开始侃侃而谈谈,说什么每次加花的时候先nop然后如果不能保存就不能加花。我相信他绝对不是第一个这么说的。但真正的答案是什么呢,且听我慢慢到来....
因为我们映像文件在被pe装载器映射到内存的时候,pe装载器会读取相应节表结构的voffset vsize和属性。这些值就是决定我们映射到内存中起始偏移和大小还有相应的内存区域的属性。一般来说我们的程序在被连接器连接的时候一般都将数据段设置为data属性,而将我们的code代码段设置为可执行属性。这些属性都是无关紧要的,我们完全可以自己去手动的更改。举个例子说就是将我们所有的属性设置为可读,可写,可执行。这样我们在加花的时候可写的区域就会非常的大,也不用去劳神的加什么区段了...
2.大小写不只是4线3格:
当然了,作为名学生学英语是肯定的了,所以各位原谅我这个简单的标题吧。相信很多叉子对修改大小写的方法都特别喜欢吧。其实我也喜欢这么搞。但是你肯定遇到过有些地方不可以修改大小写,于是曰,那些\"高手\"在和咱们小菜一样遇到这样一些修改大小写的地方就郁闷了,再于是曰:\"就冒出了什么程序损坏之类的解释\"为什么呢?因为他们根本不懂函数在我们内存中的调用方式。这里我大致说两点
1. 我们可以在一些不重要的ASCII字符或者字符串上修改大小写。比如什么消息框的的ASCII。
2.再比如一些输出表的函数名或者说一些动态地址获取的函数的名称,这些就定然不能修改大小写,因为不同的大小写的ASCII码是不同的。
现在各位叉子该明白大写和小写的真正区别了吧
3、青蛙就这么可爱吗?
我承认我不是个环保主义者。扯远了。其实我说的青蛙就是形象的比喻了免杀中的特征码修改方法,这种方法貌似最早是2005年的时候是那些玩汇编的天才提供如冰山般经验的一个小角,但是我们现在08年!3的时间一切都可以飞速发展,杀毒软件也是。现在的杀毒不像05 06年的时候只是仅仅的病毒库扫描查杀,加上一个低级的让人发疯的杀毒引擎。现在的杀毒软件的杀毒引擎渐渐的趋于完善,也趋于智能化。比如说现在的加花就是一个很明显的病毒特征,这个东西各位叉子完全可以利用epo技术躲避过去乃至你可以暴力点加一个无任何属性的区段。
可以这么说跳转法完全不如子程序调用。这么说吧可以把你定位特征码的的一部分语句nop掉,然后找段0区域。加一个子程序调用。 比如说call 内存地址
然后在这个内存地址存放的就是你刚才的nop掉的指令。最后加一个ret返回完全可以OK了。这样免杀效果完全比加N个跳转好,而且不是N倍,是N+1倍。
今天写了这么多吧。作业还怎么写。三视图还搞明白怎么画,明天计算机的作业也还没做。实在不能给各位写更多的东西。在这给各位道歉了。说几句吧,其实呢还有很多方法。08年的免杀其实远远不是主动防御这么简单而且现在杀毒软件的杀毒引擎也在一步步的完善化,一步步的智能化。所以不懂汇编不懂基本的这些函数的调用形式不具备pe结构的深入分析甚至您连工具都用不明白的\"高手\",您最好把基础知识打好以后在出来叫教学..... |
|
发表于 2008-5-18 17:38:03
