网站公告列表     学友堂,成就你我!  [admin  2006年11月29日]        
加入收藏
设为首页
联系站长
您现在的位置: 学友堂 >> 电脑网络 >> 防病毒 >> 文章正文
  平衡(免杀指令过卡吧基础)           
平衡(免杀指令过卡吧基础)
文章来源:不详 更新时间:2007-3-4 0:16:16 本站:学友堂  网址:www.3i3i.cn
学友堂 www.3i3i.cn

平衡(免杀指令过卡吧基础)


对于花指令:好多朋友都在满世界的找一些所谓的免杀的花指令.可是你在网上找到的都是一些以经公开了的.早就被杀了.就算暂时不杀.但是他的免杀期并不是由你来控制的.因为你也不知道哪一天会被杀软追杀.其实花指令在木马免杀中的作用就是干扰其正常的查杀顺序,对于一个木马来说如果是单一特征码的话,你加了花指令还杀的话.我想杀的也是花指令中的一处代码.那你完全可以在定位这个木马.查看是不是特征码以经在花指令上边了..(一般情况下都是这样的)如果在的话那就太好改了.因为花指令本身就是废话指令.无外呼就是来回的跳转.来回的压入,弹出.捎微掌握点汇编知识就能搞定了.
对于国产的杀软好多都是你把木马文件的头部转移了,就可以免杀了!!

对于加壳.因为有些壳加了木马就不能用了.有些呢..因为大家都用.所以也以经被杀了.可是杀也是杀他的壳..
对于卡吧.NOD32.诺顿等一些比教强的杀毒软件他强处之一就是他有很强的脱壳能力,就是他可以先把你的壳脱掉在来查杀木马.所以我要是给木马加壳的话就是找一些新壳,然后先加一道壳.在载入freeRES中释放资源.然后在加一道.不行就用同样的方法,在叫一道..但是就这样也不一定能过了杀毒.
好用的壳北斗.小辉的PE加密..

更改特征码:我认为做免杀的正道还是更改特征码免杀,木马的特征码都该完了后在找两个好壳加上.那你在看看免杀长不长吧.
在做定位免杀时也不能只更改你定位出来的那个特征码.你要看程序的整体汇编含意是什么,

比如:你定位的特征码在
卡吧 [特征] 0000B585_00000003 转内存地址: 0040B585
OD载入找到卡吧特征码的位置是
0040B57C |. E8 7F89FFFF CALL 木马.00403F00
0040B581 |. 8BD0 MOV EDX,EAX
0040B583 |. B9 08BC4000 MOV ECX,木马.0040BC08 ; ASCII "KpopMon"
0040B588 |. B8 02000080 MOV EAX,80000002
也就是说0040B585是0040B583指令中的一部份.(这个要是不明白我就没话可说了)
那你就看0040B583 处的指令是什么意思..
是把0040BC08处的ASCII "KpopMon"传送到寄存器ECX里.那这段你要是改的话就要到0040BC08地址处去调整他的位置.然后在回来把0040B583的指针调整就可以了.

还可以怎么改.在看0040B57C |. E8 7F89FFFF CALL 木马.00403F00
实际上现在的杀毒公司定位的特征码大部分都在CALL和JMP..上边
CALL是过程调用指令
那刚才那段OD中的指令你往上看还可以看到
0040B57C |. E8 7F89FFFF CALL 木马.00403F00
这句就是0040B57C调用00403F00中的指令.

其中CALL 木马.00403F00的位置查看00403F00的位置是
00403EFF 90 NOP
00403F00 /$ 85C0 TEST EAX,EAX
00403F02 |. 74 02 JE SHORT kk_.00403F06
00403F04 |. C3 RETN
00403F05 | 00 DB 00
00403F00上面是NOP.那你就可以把
0040B57C |. E8 7F89FFFF CALL 木马.00403F00的指针调整为
0040B57C |. E8 7F89FFFF CALL 木马.00403EFF
这样也能免杀.而且还没有改变堆栈平衡..其他的功能也决对不会有什么变化

文章录入:admin    责任编辑:admin 
  • 上一篇文章:

  • 下一篇文章:
  • 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
    最 新 热 门
    最 新 推 荐
    相 关 文 章
    数码相机 : 什么是白平衡
     
    版权所有 2004-2012  学友堂 [3i3i.cn] 最佳分辨率 1024×768
    Copyright www.3i3i.cn All rights reserved.