免杀部分经验
来源:互联网 发布:键盘按键测试软件 编辑:程序博客网 时间:2024/04/25 16:52
.脱壳解密
脱壳在木马免杀中由为重要!。。所以希望大家好好学习脱壳
脱壳的好坏直接影响到木马免杀效果(如果不完全脱壳,在<定位内存特征码>可能会使定位中没发现特征码但是运行中又发现木马。)
2.定位特征码
一般从大范围定位后逐渐缩小范围(字节型)
(个数型)一般从生成100个数的大致定位特征码后转入字节型定位。
单一文件特征码定位:CLL MYCLL multiCCL
复合文件特征码定位:MYCLL multiCCL
内存特征码定位: OD(一半一半定位) MYCLL multiCCL [一般都要确定你的文件是否完美完全脱壳后在进行文件特征码定位]
3.特征码修改
简单的等效代码转换如下:(不过有时改后也损坏文件所以看情况)
push 变 pop
je 变 jnz
add 变 sub
add ecx,2 可以改为 sub ecx,-2
加ecx内存器+2 减ecx内存器-2 - -2得=2
上面的等效代码用不了还是乖乖用,JMP跳转法把特征码转移
*******************************************************
网页木马类: JS html htm asp 等
1.拆分变量。
用&连接符号,拆分变量
2.加入垃圾代码。
3.等值代码修改
<html></html>
<htm></htm>
把html全部改htm 效果一样
4.代码添零
5.编码加密
1 定位在PE文件头。
方法1 手工修改PE头。或用lord PE重建。
方法2 定位从400开始定位。一般用于瑞星
2 定位出现死循环。
方法1 PE头加1后再定位
方法2 从400开始定位,更改分块个数
3 定位出特征码,改的时候出现重定位,无法修改。
方法 可以使用lord PE 重建PE 功能实现清除重定位。
4 定位在输入表位置
方法1 修改输入表
方法2 最直接的就是直接重建输入表 工具import REC
5 定位在末尾的配置信息
方法1 这一般是金山的数据流。。选择上一大段 更改大小写即可,
6 OD使用保存时 没有“所有修改”
这个问题我也不清楚。个人感觉是没有jmp成功。或者分开来保存。或用鼠标拉上修改的部分来保存
7 定位的特征在OD中用什么方法都修改不了
并不是非要修改定位出来的特征码,修改他上面或下面的2。3行 乃至4。5行 有时候都是可以免杀的。
- 免杀部分经验
- 定位免杀NOD32的一些经验
- 定位免杀NOD32的一些经验
- 免杀的个人经验及技巧详谈
- 虫虫免杀--js脚本免杀工具 免杀经验以及简单的分析
- JAVA经验部分总结
- 免杀
- 免杀
- C++部分编程经验(转)
- 2005年部分项目经验
- 2006年部分项目经验
- 2007年部分项目经验
- 2008年部分项目经验
- 2009年部分项目经验
- 2010年部分项目经验
- 2011年部分项目经验
- 2012年部分项目经验
- 2013年部分项目经验
- x3d文件语法结构
- 遗传算法介绍(内含实例) ---2005-05-11 23:14 waterflier
- 倡导非盗版,自己常用的一些软件集锦
- 转全角半角(C#,VB.NET)
- ASP.NET2.0(VS2008) Ajax实现的几种方式
- 免杀部分经验
- C# + MapX 鹰眼功能的实现
- vc 2005快捷键&及vc 2005使用技巧
- Ext2.0教程三:Ext2.0从新建窗口开始
- SqlServer2005 读书笔记- 1.Overview
- 再来学习Java classpath
- 用idhttp提交cookie
- 网络通信中的心跳机制的实现
- 什么是遗传算法