跳转法免杀与定位特征码的问题
先说定位特征码吧。用Myccl定位的时候,定位那里才算完成,网上有教程说,定位到单位长度为1后,产生的特征码,我的疑问是:定位到单位长度为1后,复合定位此处特征码是,再查...
先说定位特征码吧。
用Myccl定位的时候,定位那里才算完成,网上有教程说,定位到单位长度为1后,产生的特征码,我的疑问是:定位到单位长度为1后,复合定位此处特征码是,再查杀还会有新的出来。
这样我不断去复合,就会不断出现
000002CD_00000001
000002CD_00000003
000002CD_00000002
000002CD_00000001
这样的长度不一样的特征码。那到底哪个是更准确的?
我用跳转法免杀是这样的,
假设
004C200E 68 481E4A00 PUSH hgz.004A1E48
004C2013 C3 RETN
第一句004C200E是被查杀的
004C2014 0000 ADD BYTE PTR DS:[EAX],AL
004C2016 0000 ADD BYTE PTR DS:[EAX],AL
那么我跳转时是这样的。
0042014汇编成004C200E的。
再在004C200E上JMP到004C2014,再将004C2016JMP到004C2013
请问跳转的思路是这样的吗?
可为什么我跳转后免杀总不成功? 展开
用Myccl定位的时候,定位那里才算完成,网上有教程说,定位到单位长度为1后,产生的特征码,我的疑问是:定位到单位长度为1后,复合定位此处特征码是,再查杀还会有新的出来。
这样我不断去复合,就会不断出现
000002CD_00000001
000002CD_00000003
000002CD_00000002
000002CD_00000001
这样的长度不一样的特征码。那到底哪个是更准确的?
我用跳转法免杀是这样的,
假设
004C200E 68 481E4A00 PUSH hgz.004A1E48
004C2013 C3 RETN
第一句004C200E是被查杀的
004C2014 0000 ADD BYTE PTR DS:[EAX],AL
004C2016 0000 ADD BYTE PTR DS:[EAX],AL
那么我跳转时是这样的。
0042014汇编成004C200E的。
再在004C200E上JMP到004C2014,再将004C2016JMP到004C2013
请问跳转的思路是这样的吗?
可为什么我跳转后免杀总不成功? 展开
8个回答
展开全部
第一个问题,理论上是定得的长度是越小越准确,但是一般定到2就可以了,如查定到2了,你还要复合,那么这样子,有时候不管你怎么定它还会定在那个位置的附近,甚至来个死循环。(如果出现了死循环,可以改一部份,再定,当然最好预处理一下比较好)
你的跳转是正确的,但不是并不是所有的特征都可用跳转法进行跳转,甚至有你的跳转了就上不了线了(比如函数),或者提示,无效的EXE文件,动态链接库文件找不到等问题.
跳转之后没成功,说明还有其它的特征码,再定,再改,我以前发现一个郁闷在的问题,定瑞星的时候,你跳到哪里它就杀到哪里....(所以跳转法并不是可以解决所有的问题,可多试一下其它的方法)
最后给个免杀思路:懒一点:首先移一下PE头,移几个输入表函数,再在OD里面找空的位置,这里加点密,那里加点密,(加密的代码不要死照网上说的,要改一下比如多跳几下,加点垃圾代码),然后加点反调试,再来个脱壳改壳。然后查杀一下看过了没,就算没过,也不会有很多特征码了,定一下改一下
对了,要注意一下各杀软的查杀特点,有针对性的去改
卡巴-- 给它加一个签名
瑞星 -- 配置信息 服务 字符串 恶意关键字
金山 -- 改PE头 pe下拉128处,乱改一下
江民 --- 注意一下路径
诺顿 --- 最好不要插进程
360 -- 对注册表和启动项查很紧
你的跳转是正确的,但不是并不是所有的特征都可用跳转法进行跳转,甚至有你的跳转了就上不了线了(比如函数),或者提示,无效的EXE文件,动态链接库文件找不到等问题.
跳转之后没成功,说明还有其它的特征码,再定,再改,我以前发现一个郁闷在的问题,定瑞星的时候,你跳到哪里它就杀到哪里....(所以跳转法并不是可以解决所有的问题,可多试一下其它的方法)
最后给个免杀思路:懒一点:首先移一下PE头,移几个输入表函数,再在OD里面找空的位置,这里加点密,那里加点密,(加密的代码不要死照网上说的,要改一下比如多跳几下,加点垃圾代码),然后加点反调试,再来个脱壳改壳。然后查杀一下看过了没,就算没过,也不会有很多特征码了,定一下改一下
对了,要注意一下各杀软的查杀特点,有针对性的去改
卡巴-- 给它加一个签名
瑞星 -- 配置信息 服务 字符串 恶意关键字
金山 -- 改PE头 pe下拉128处,乱改一下
江民 --- 注意一下路径
诺顿 --- 最好不要插进程
360 -- 对注册表和启动项查很紧
本回答由提问者推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
AiPPT
2024-09-19 广告
随着AI技术的飞速发展,如今市面上涌现了许多实用易操作的AI生成工具1、简介:AiPPT: 这款AI工具智能理解用户输入的主题,提供“AI智能生成”和“导入本地大纲”的选项,生成的PPT内容丰富多样,可自由编辑和添加元素,图表类型包括柱状图...
点击进入详情页
本回答由AiPPT提供
展开全部
定位长度视情况而定,理论上虽然是越小越好,但是有时定位nod这类采用主动防御的杀软可能会出现定位错误,所以在反复定位有问题的时候,可以尝试适当加大精度。
对于第二个问题,你可以先用填0法测试定位是否正确,等你正确定位了所以特征码以后,再研究修改,这样比较有目的性,不会陷入无尽的重复定位中……
http://bbs.mmbest.com/?fromuid=267832
来论坛注册一下吧~这里免杀版块还是很活跃的,每周还有免费在线语音教学,可以试试哦~
对于第二个问题,你可以先用填0法测试定位是否正确,等你正确定位了所以特征码以后,再研究修改,这样比较有目的性,不会陷入无尽的重复定位中……
http://bbs.mmbest.com/?fromuid=267832
来论坛注册一下吧~这里免杀版块还是很活跃的,每周还有免费在线语音教学,可以试试哦~
参考资料: http://bbs.mmbest.com/?fromuid=267832
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
因为你特征码定位的不准确,跟跳转没关系
如果定位准确,你直接用C32Asm打开,先把特征码全用0填充,看看被不被杀(先不用管程序能不能正常运行),如果你把你定位的特征码全用0填充了,还是被杀,那就肯定是你特征码定位的不对,如果定位对了,不会象你那种不断出现的现象
如果定位准确,你直接用C32Asm打开,先把特征码全用0填充,看看被不被杀(先不用管程序能不能正常运行),如果你把你定位的特征码全用0填充了,还是被杀,那就肯定是你特征码定位的不对,如果定位对了,不会象你那种不断出现的现象
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
我觉得这些方法可能都过时了
建议你去黒客动画吧学习一下最新的免杀技术
那里的高手挺多的,而且都很热心,相信你的问题能解决
祝你学习愉快!
建议你去黒客动画吧学习一下最新的免杀技术
那里的高手挺多的,而且都很热心,相信你的问题能解决
祝你学习愉快!
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
发给我试试 Q411759482
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
特征那里先把004A1E48入栈,然后用RETN跳到004A1E48处
只要把那两句改成具有同样功能的指令就可以了...
只要把那两句改成具有同样功能的指令就可以了...
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(6)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
