|
|
今天给大家谈一下免杀的小技巧。技术不大,全是经验。希望大家看完后有所收获。
1:
004B3920:64:8910MOV FS:[EAX],EDX
004B3923:68 35***54B00PUSH 4B4535-------------替换处(2)
004B3928:E8 83D3FFFFCALL 004B0CB0
004B392D:C3 RETN
004B392E:E9 E9FDF4FFJMP 00***71C
004B3933:EB F3JMP SHORT 004B3928
004B3935:33C0 XOR EAX,EAX
004B3937:5A POP EDX
004B3938:59 POP ECX
004B3939:59 POP ECX
004B393A:64:8910MOV FS:[EAX],EDX
004B393D:68 5D454B00PUSH 4B455D-------------假设特征码处(1)
004B3942:8D85 64FDFFFFLEA EAX,SS:[EBP-29C]
004B3948:E8 4F04F5FFCALL 00***03D9C
004B394D:8D45 FCLEA EAX,SS:[EBP-4]
004B3950:E8 4704F5FFCALL 00***03D9C
004B3955:C3 RETN
假设特征码处(1),大家看下是不是觉得很难改,改了有些可能出错,跳转一般都不行。我们可以试一下和(2)处交换下。看是不是是能免杀上线。如何可以吧。因为他们都是压入堆栈,我们只是换了个地址而已。
2:
004B3920:64:8910MOV FS:[EAX],EDX
004B3923:68 35***54B00PUSH 4B4535
004B3928:E8 83D3FFFFCALL 004B0CB0 ------假设特征码处(1)
004B392D:C3 RETN
004B392E:E9 E9FDF4FFJMP 00***71C
004B3933:EB F3JMP SHORT 004B3928
004B3935:33C0 XOR EAX,EAX
004B3937:5A POP EDX
004B3938:59 POP ECX
在看这个特征码处 ,假设跳转不行,无法上线。那么我们和下面或上面的代码交换下位置试一试。看下是否上线了,而且功能全齐吧!
还有些比较厉害的杀毒软件把你ccl或myccl生成出的特征码全都给杀了,是吧。你可以试一试加壳,再查。如果你想做无壳的。怎么办?办法还是有。你去头加区。试一试不用新加的哪个区段去CCL或MYCCL去生成特征码试一试。有些可能不行,比如黑防。
在这只是给大家介绍些经验,希望各位多多研究,多想些办法。不要放弃。肯定是有办法的。只要你肯研究我不相信你就免杀不了。
不说了,今天就到这,这只是说说经验,当然上面的方法是我自己想出来的,我不保证100%成功。只想给大家一个启发。
送大家免杀6字真言:不放弃,多研究! |
|
发表于 2008-11-1 21:50:33