360黑盒研究感染

测试环境

A程序 合法  无源码

B程序 合法  有源码

 

C程序 B寄生在A上 

360扫描非法

 

为了达到扫描合法我采用如下方案(经过了不断的修改测试)

A:OEP

B:Shellcode代理

C:虽然B程序是合法的，但这里才是重点

   这个地方我很是不解  有的时候程序完全加密依然被杀

   有的时候换个变异选项竟然就过了 又有的去了DOS头 

   就过了  具体算法在随后一些日子 要逆向

弊病:

A:360并没有对跨段执行非常严格

B:对一些比较敏感函数的IAT看的很死

下一步目标：

1:添加多态

2:逆向360的扫描模块

3:逆向驱动模块