给木马做免杀时修改特征码的规则是怎样?
今天用远控软件生成了木马程序,也找到了它的特征码,但是定好位之后修改的时候不知道该怎么修改。自己摸索着修改了几个,后来再次进行特征码定位的时候竟然比上次多了一倍~~~上面...
今天用远控软件生成了木马程序,也找到了它的特征码,但是定好位之后修改的时候不知道该怎么修改。自己摸索着修改了几个,后来再次进行特征码定位的时候竟然比上次多了一倍~~~
上面全是汇编语言,我看了一下有以下这些语句:CMC* ENTER* FDIV* RETN* LODSB* XCHG* LEA* LES* PUSH* MOV* ADD* ARPL* AND* ADC* BOUND* CALL* CMP* NOP* TEST* POP* POPA* POPAD* PREFIX* POL* (PCMPEQW MMS)* JE* JB* JO* JS* JNZ* JG* JBE* JA* ???* JMP* JNS* JNZ* OR* OUT* OUTSD* OUTSB* DIV* DEC* INC* XOR* IN* INT3* INSB* IMUL* STC* SBB* SETE* SETNB* NEG* HLT* ROL* RETF* MOVZX* LEAVE*
最后问一下:找到特征码的位置之后,必须对这个定位的特征码进行修改吗?如果只对他周围的语句进行修改可以吗?(我用了一个跳转发和替换法对他周围的语句进行修改的,最后再次定位的时候居然比上次多了一倍~~~)
希望对这方面了解的朋友把你们知道的一些语句修改方法较少一下,给些启发,定会高分相送~~谢谢~~ 展开
上面全是汇编语言,我看了一下有以下这些语句:CMC* ENTER* FDIV* RETN* LODSB* XCHG* LEA* LES* PUSH* MOV* ADD* ARPL* AND* ADC* BOUND* CALL* CMP* NOP* TEST* POP* POPA* POPAD* PREFIX* POL* (PCMPEQW MMS)* JE* JB* JO* JS* JNZ* JG* JBE* JA* ???* JMP* JNS* JNZ* OR* OUT* OUTSD* OUTSB* DIV* DEC* INC* XOR* IN* INT3* INSB* IMUL* STC* SBB* SETE* SETNB* NEG* HLT* ROL* RETF* MOVZX* LEAVE*
最后问一下:找到特征码的位置之后,必须对这个定位的特征码进行修改吗?如果只对他周围的语句进行修改可以吗?(我用了一个跳转发和替换法对他周围的语句进行修改的,最后再次定位的时候居然比上次多了一倍~~~)
希望对这方面了解的朋友把你们知道的一些语句修改方法较少一下,给些启发,定会高分相送~~谢谢~~ 展开
2个回答
展开全部
暂时免杀可以去找专门发放的无配置服务端,再把你的信息导 进去
如果想自己学的话,要学修改特征码。如果会加壳的话也行,提问人的追问
用OD怎么修改特征码?
跳转法,,顺序调换法, nop移位法,.等值替换法 ,大小写替换法,00填充法,输入表函数移位法。
例如大小写替换法,C:\Program Files\iexplorer.exe
C:\PROGRAM FILES\IEXPLORER.EXE
这个字母p可以改成大写的,75-20 就是小写的了 大小写间差20,这个必须特征码是字母
假如这个是特征码 ..000B9E4C
用OC打开 转换 /004C204C 这个就是对应的内存地址
004C204C 5D pop ebp
004C204D 59 pop ecx
记录下来
再找程序0区域
004C20FE 0000 add byte ptr [eax], al
这些都是 找一个就行
JMP 就是无条件跳转 跳到0区域
然后在0区域写上本来的代码
pop ebp 就这个
他的下一行在跳回去 跳到特征码下一行 继续程序
可以看到红线 跳回去了
然后再保存
定位好特征码后 就用这些方法
还有其他方法 很少用 比如 输入表出 全部移动的 下移或上移 把整个文件头代码 全部移动几个字节//
希望对你有所帮助
如果想自己学的话,要学修改特征码。如果会加壳的话也行,提问人的追问
用OD怎么修改特征码?
跳转法,,顺序调换法, nop移位法,.等值替换法 ,大小写替换法,00填充法,输入表函数移位法。
例如大小写替换法,C:\Program Files\iexplorer.exe
C:\PROGRAM FILES\IEXPLORER.EXE
这个字母p可以改成大写的,75-20 就是小写的了 大小写间差20,这个必须特征码是字母
假如这个是特征码 ..000B9E4C
用OC打开 转换 /004C204C 这个就是对应的内存地址
004C204C 5D pop ebp
004C204D 59 pop ecx
记录下来
再找程序0区域
004C20FE 0000 add byte ptr [eax], al
这些都是 找一个就行
JMP 就是无条件跳转 跳到0区域
然后在0区域写上本来的代码
pop ebp 就这个
他的下一行在跳回去 跳到特征码下一行 继续程序
可以看到红线 跳回去了
然后再保存
定位好特征码后 就用这些方法
还有其他方法 很少用 比如 输入表出 全部移动的 下移或上移 把整个文件头代码 全部移动几个字节//
希望对你有所帮助
本回答由提问者推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
AiPPT
2024-09-19 广告
随着AI技术的飞速发展,如今市面上涌现了许多实用易操作的AI生成工具1、简介:AiPPT: 这款AI工具智能理解用户输入的主题,提供“AI智能生成”和“导入本地大纲”的选项,生成的PPT内容丰富多样,可自由编辑和添加元素,图表类型包括柱状图...
点击进入详情页
本回答由AiPPT提供
展开全部
免杀最好的还是去搞源码,汇编免杀总感觉使不上劲,
楼主对源码免杀有意思话可以去饭客找下资料,
那里还是比较全面的
楼主对源码免杀有意思话可以去饭客找下资料,
那里还是比较全面的
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
