简单分析特征码修改技术-网马分析-福州电脑维修|上门维修维护|包年电脑维修|IT外包

简单分析特征码修改技术

如果你想学习免杀技术：
1.基础的汇编语言
2.修正东西(不指那些傻瓜式软件)。如：
OllyDbg . PEditor. C32ASM . MYCCL复合特性码定位器。UE .OC. 资源编辑器等。还有一些查壳脱壳软件(如：PEID RL脱壳机等) . 以下是常用的几种免杀方法及东西：
一、要使一个木马免杀
首先要准备一个不加壳的木马，这点非常重要，否则免杀操作就不克不及进行下去。然后我们要木马的内存免杀，从上面阐发可以看出，如今的内存查杀，只要瑞星最强，其它杀毒软件内存查杀如今还不起作用所以我们只针对瑞星的内存查杀，要进行内存特性码的定位和修正，才能内存免杀。
二、对符其它的杀毒软件
好比江民，金山，诺顿，卡巴。我们可以采用上面的方法，或这些方面的组合使用。
1>.入口点加1免杀法。
2>.变革入口地址免杀法
3>.加花指令法免杀法
4>.加壳或加伪装壳免杀法。
5>.打乱壳的头文件免杀法。
6>.修正文件特性码免杀法。
第三部分：免杀技术实例演示部分
一、入口点加1免杀法：
1.用到东西：PEditor
2.特点：非常简略实用，但偶然还会被卡巴查杀。
3.操作要点：用PEditor打开无壳木马步伐，把原入口点加1即可。
二、变革入口地址免杀法：
1.用到东西：OllyDbg，PEditor
2.特点：操作也比较容易，而且免杀结果比入口点加1点要佳。
3.操作要点：用OD载入无壳的木马步伐，把入口点的前二句移到零地区去执行，然后又跳回到入口点的上面第三句继续执行。末了用PEditor把入口点改成零地区的地址。
三、加花指令法免杀法：
1.用到东西：OllyDbg，PEditor
2.特点：免杀通用性非常好，加了花指令后，就基本达到少量杀毒软件的免杀。
3.操作要点：用OD打开无壳的木马步伐，找到零地区，把我们准备好的花指令填进去填好后又跳回到入口点，保存好后，再用PEditor把入口点改成零地区处填入花指令的着地址。
四、加壳或加伪装壳免杀法：
1.用到东西：一些冷门壳，或加伪装壳的东西，好比木马彩衣等。
2.特点：操作简略化，但免杀的工夫不长，可能很快被杀，也很难躲过卡巴的追杀。
3.操作要点：为了达到更好的免杀结果可采用多重加壳，或加了壳后在加伪装壳的免杀结果更佳。[next]
五、打乱壳的头文件或壳中加花免杀法：
1.用到东西：机密举措，UPX加壳东西。
2.特点：操作也是傻瓜化，免杀结果也正当不错，特别对卡巴的免杀结果非常好。
3.操作要点：首先一定要把没加过壳的木马步伐用UPX加层壳，然后用机密举措这款东西中的SCramble功效进行把UPX壳的头文件打乱，从而达到免杀结果。
六、修正文件特性码免杀法：
1.用到东西：特性码定位器，OllyDbg
2.特点：操作较庞大，要定位修正一系列历程，而且只针对每种杀毒软件的免杀，要达到多种杀毒软件的免杀，必须修正种种杀毒软件的特性码。但免杀结果好。
3.操作要点：对某种杀毒软件的特性码的定位到修正一系列慢长历程。
第四部分：快速定位与修正瑞星内存特性码
一、瑞星内存特性码特点：由于技术缘故原由，如今瑞星的内存特性码在90%以上把字符串作为病毒特性码，这样对我们的定位和修正带来了方便。
二定位与修正要点：
1>.首先用特性码定位器大抵定位出瑞星内存特性码地位
2>.然后用UE打开，找到这个大抵地位，看看，哪些方面对应的是字符串，用0替换后再用内存查杀进行查杀。直到找到内存特性码后，只需把字符串的巨细写交换就能达到内存免杀结果。
第五部分：木马免杀综合方案
修正内存特性码——>1>入口点加1免杀法——> 1>加紧缩壳——>1>再加壳或多重加壳
2>变革入口地址免杀法 2>加成僻壳 2>加壳的伪装。
3>加花指令法免杀法 3>打乱壳的头文件
4>修正文件特性码免杀法
注：这个方案可以任意组合种种差别的免杀方案。并达到种种差别的免杀结果。
第六部分：免杀方案实例演示部分
1.完全免杀方案一：
内存特性码修正 + 加UPX壳 + 机密举措东西打乱UPX壳的头文件。
2.完全免杀方案二：
内存特性码修正 + 加紧缩壳 + 加壳的伪装 )
3.完全免杀方案三：
GD内存特性码修正 + 修正种种杀毒软件的文件特性码 + 加紧缩壳
4.完全免杀方案四：
内存特性码修正 + 加花指令 + 加压壳
5.完全失常免杀方案五：
内存特性码修正 + 加花指令 + 入口点加1 + 加紧缩壳UPX + 打乱壳的头文件
还有其它免杀方案可凭据第五部分任意组合

福州电脑维修

TAG:

评论加载中...

上一篇: NT完全入侵教程

下一篇: 木马Rootkits和僵尸Botnets

简单分析特征码修改技术

网马分析

新闻动态

友情链接