pc软件 文章资讯 手机软件

您当前的位置→图文中心安全防范木马的免杀[入门]
阅读排行

木马的免杀[入门]


2009/3/30  编辑:佚名 来源:本站整理

一.关于免杀的来源

为了让我们的木马在各种杀毒软件的威胁下活的更久.

二.什么叫免杀和查杀

可分为二类:

1.文件免杀和查杀:不运行程序用杀毒软件进行对该程序的扫描, 所得结果。

2.内存的免杀和查杀:判断的方法1>运行后,用杀毒软件的内存查杀功能.

                                          2>用OD载入,用杀毒软件的内存查杀功能.

三.什么叫特征码

1.含意:能识别一个程序是一个病毒的一段不大于64字节的特征串.

2.为了减少误报率,一般杀毒软件会提取多段特征串,这时,我们往往改一处就可达到

免杀效果,当然有些杀毒软件要同时改几处才能免杀.(这些方法以后详细介绍)

3.下面用一个示意图来具体来了解一下特征码的具体概念

四.特征码的定位与原理

1.特征码的查找方法:文件中的特征码被我们填入的数据(比如0)替换了, 那杀毒软

件就不会报警, 以此确定特征码的位置

2.特征码定位器的工作原理:原文件中部分字节替换为0, 然后生成新文件, 再根据杀

毒软件来检测这些文件的结果判断特征码的位置

五.认识特征码定位与修改的工具

1.CCL(特征码定位器)

2.OOydbg (特征码的修改)

3.OC用于计算从文件地址到内存地址的小工具.

4.UltaEdit-32(十六进制编辑器,用于特征码的手工准确定位或修改)

六.特征码修改方法

特征码修改包括文件特征码修改和内存特征码修改, 因为这二种特征码的修改方法

是通用的。 所以就对目前流行的特征码修改方法作个总节。

方法一:直接修改特征码的十六进制法

1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.

2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下能

否正常使用.

方法二:修改字符串大小写法

1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.

2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.

方法三:等价替换法

1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.

2.适用范围:特征码中必需有可以替换的汇编指令.比如JN,JNE 换成JMP等.

如果和我一样对汇编不懂的可以去查查8080汇编手册.                    

方法四:指令顺序调换法

1.修改方法:把具有特征码的代码顺序互换一下.

2.适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行

方法五:通用跳转法

1.修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.

2.适用范围:没有什么条件,是通用的改法,强烈建议大家要掌握这种改法.

七.木马免杀的综合修改方法

文件免杀方法:

1.加冷门壳

2.加花指令

3.改程序入口点

4.改木马文件特征码的5种常用方法

5.还有其它的几种免杀修改技巧

内存免杀方法:

修改内存特征码:

方法1>直接修改特征码的十六进制法

方法2>修改字符串大小写法

方法3>等价替换法

方法4>指令顺序调换法

方法5>通用跳转法

 

相关文章

清除病毒和木马Windows桌面消失的问题:有些时候.我们清除完病毒和木马之后,Windows桌面就会消失,通常是由于下面三种情况: ①explorer.exe损坏或丢失:②注册表键值被修改;③由于程序冲突,病毒劫持等原因explorer.exe无法运行。

2015高考查分系统木马最近在网络疯传: 高考刚刚拉下帷幕,考生们最焦急的就是查看自己的高考成绩了,最近一大批高考查分相关的网页木马也正是瞅准这一目标,通过qq群等途径进行大面积的传播,大家一定要警惕。

病毒、木马ARP攻击行为的原理分析及解决:1.频繁的出现地址冲突的现象  2.上网速度很慢甚至上不了网  经分析,这大部分是由于病毒进行ARP地址欺骗造成的。

发表评论
网站帮助 - 广告合作 - 下载声明 - 网站地图