一个关于免杀的问题,希望高手给个帮助,谢了
我在对一个木马做免杀的时候,为什么用360的杀软的时候出现了下面的问题:一,定位灰鸽子特征码时,只定位出一处,而用其它的杀软却能定出几十处。二,当对360定位出的特征码进...
我在对一个木马做免杀的时候,为什么用360的杀软的时候出现了下面的问题:一,定位灰鸽子特征码时,只定位出一处,而用其它的杀软却能定出几十处。二,当对360定位出的特征码进行修改的时候,当用00填充或改的特征码不对时,360是不杀的,而我修改对了这处特征码时,360却又杀了。这是为什么呢,真是晕死了!注:我用的是360病毒库,而不是安全卫士。谢谢各位的帮助
展开
4个回答
展开全部
一,定位灰鸽子特征码时,只定位出一处,而用其它的杀软却能定出几十处
回答 1楼的情况比较有可能、但更可能是定位出错、或者就是360的启发误导你了、遇到这情况最好是把360的启发先关掉、然后重新正确定位、然后在把360的启发开起来、再定位
二,当对360定位出的特征码进行修改的时候,当用00填充或改的特征码不对时,360是不杀的,而我修改对了这处特征码时,360却又杀了。这是为什么呢
回答 呵呵、LZ、 遗憾的告诉你、填充00来验证定位对错是非常愚蠢的、你去试试PE头用00填充、输入表用00填充、解决办法:正确定位、看看特征的位置,用免杀常用方法进行修改,一般地方什么跳转啊、如果定位的不错,这些小修改就行了。 一时说不完。总之免杀的道路很漫长、漫漫努力吧LZ、
打了这么多、麻烦分给我吧。。
回答 1楼的情况比较有可能、但更可能是定位出错、或者就是360的启发误导你了、遇到这情况最好是把360的启发先关掉、然后重新正确定位、然后在把360的启发开起来、再定位
二,当对360定位出的特征码进行修改的时候,当用00填充或改的特征码不对时,360是不杀的,而我修改对了这处特征码时,360却又杀了。这是为什么呢
回答 呵呵、LZ、 遗憾的告诉你、填充00来验证定位对错是非常愚蠢的、你去试试PE头用00填充、输入表用00填充、解决办法:正确定位、看看特征的位置,用免杀常用方法进行修改,一般地方什么跳转啊、如果定位的不错,这些小修改就行了。 一时说不完。总之免杀的道路很漫长、漫漫努力吧LZ、
打了这么多、麻烦分给我吧。。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
你要了解一个很重要的问题..
特征码不是死的 而是一个动作 不是单纯定位在了一些字母上 而是定位在了一个系统操作上.
比如 pop exp 不是定位在这6个字母上 而是在操作 将EXP寄存器弹出堆栈..
举个例子 花指令
PUSH exp
POP exp
nop
nop
nop
jmp XXXXX
XXXXX retn#####
假如说 我是杀软 要定位这个花指令 肯定定位在两个相邻的无用句上
就是 PUSH exp
POP exp
这两句..
那么 如果我修改了这处.. 杀软就不会查杀这里了 但是! 你要看看是不是构成了其他的特征语句.
我不知道你定位在了什么句上..
总之 ... 移位法 跳转法 交换法 都试试 ...
特征码不是死的 而是一个动作 不是单纯定位在了一些字母上 而是定位在了一个系统操作上.
比如 pop exp 不是定位在这6个字母上 而是在操作 将EXP寄存器弹出堆栈..
举个例子 花指令
PUSH exp
POP exp
nop
nop
nop
jmp XXXXX
XXXXX retn#####
假如说 我是杀软 要定位这个花指令 肯定定位在两个相邻的无用句上
就是 PUSH exp
POP exp
这两句..
那么 如果我修改了这处.. 杀软就不会查杀这里了 但是! 你要看看是不是构成了其他的特征语句.
我不知道你定位在了什么句上..
总之 ... 移位法 跳转法 交换法 都试试 ...
本回答被提问者采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
学习免杀你可以多看看专业的免杀技术教程和文章,像黒客动画吧就有很多,你可以做为一个学习参考,多努力一点学,相信你会有收获的,祝你学习愉快!
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
去饭客网络看看吧
有大量的教程和工具
有大量的教程和工具
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(2)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
