|
|
介绍一种新的免杀方法!今天定位一个远控过BitDefender的特征码!!!地址004****6034!!!!我们看看具体代码!!
00***02D:75 F9JNZSHORT 004****6028
00***02F:51PUSHECX
004****6030:53PUSHEBX
004****6031:56PUSHESI
004****6032:57PUSHEDI
004****6033:8945 FCMOV[EBP-4],EAX(特征码在这里)
004****6036:33C0XOREAX,EAX
004****6038:55PUSHEBP
004****6039:68 227****4900PUSH49***22
00***03E:64:FF30PUSHDWORD PTR FS:[EAX]
按照我们以前的修改方法 无非就是 mov [ebp-4],eax 和xor eax,eax调换位置 或者 push 上面4组指令 再来就是最顶部jnz指令改为相近指令!或者直接来个乾坤大挪移?对于这处特征码 Bitdefender真的不愧为世界第一杀毒 之前老觉得小红伞BT 没想到这个更BT 定位在代码段也那么厉害 这些方法全用上了 依然无效 而且上面所用的方法 根本不能修改此处 任何一点稍微动一下 程序直接不能运行!
我们仔细看看这段代码。。。顶部的JNZ 我们不去管他 即使能修改 恐怕也达不到免杀目的。再下来 4条PUSH指令 我们知道PUSH再汇编中是进栈指令,最理想的方法就是对调PUSH来达到免杀目的,那是上面说个这个方法无效。所以即使你把PUSH换成POP 同样不行!接下来我们看看这句,MOV[EBP-4],EAX 这里不难理解 MOV 在汇编中是传送指令 上面这句我们理解为 把EBP-4的值 赋予EAX
,下来一句 XOREAX,EAX异或运算 这句话的意思就是 把EAX的值归0
这里不是有矛盾吗? 上下两句的意思就是赋予EAX 为0这里我就想到了一个新的免杀技巧 我们NOP掉 MOV[EBP-4],EAXXOREAX,EAX 这两句 重新写上mov eax,0 保存后 程序运行正常 ,免杀成功!!!!!这里只是给大家一个思路 我不能保证这样的修改方法 是否完全不影响程序 但是大家在免杀的时候 如果遇到同样的难题的时候 不妨多一种方法而已!!! |
|
发表于 2008-10-23 22:27:49
发表于 2008-10-23 23:12:03