如何定位360卫士QVM主动防御特征码+定位360杀毒五引擎特征码?
1个回答
展开全部
定位360卫士QVM主动防御特征码+定位360杀毒五引擎特征码
For 云引擎+QVM引擎
补充下:360杀度的五引擎全部通过了,那么360卫士的QVM主动防御也就过了
1.用360杀毒扫描,查看病毒名
(1)如果病毒名为QVM类型,则在多引擎设置中取消云查杀引擎和常规反病毒引擎
(2)如果病毒名为云引擎类型(就是前面有一个云的图标),请先尝试修改文件MD5。
若修改后依旧被查杀,则在多引擎设置中取消QVM引擎和常规反病毒引擎
(3)若不符合以上两种情况,说明报毒类型为常规反病毒引擎,
如果是这样,那么在多引擎设置中取消云查杀引擎和QVM引擎,按正常定位方式定位即可
(它的常规反病毒引擎分为小红伞和BD,关于定位这两个杀毒引擎的方法和这两个杀毒引擎的特性,百度一下,马上知道,在这里就不说了)
2.尝试删除程序的输入表,再进行查杀
(1)删除后已经不查杀了,那么直接继续第3步
(2)删除后依旧还杀---修改伪装文件资源再看是否还杀----不杀-----继续第3步
(3)删除后依旧还杀---修改伪装文件资源再看是否还杀----还杀-----尝试定位代码部分,但不定位入口点部分----定位出后修改----不杀,在原来的文件中继续修改----继续第3步
3.精确输入表特征到DLL,逐一删除DLL,删除一次查杀一次,直到不再查杀,以找出特征所属DLL
(1)只删除掉一个DLL,就不查杀了------直接继续第4步
(2)删除掉多个DLL,才不查杀-----记下所有存在特征的DLL名称,在第四步的时候逐一定位,
比如特征存在于1.DLL和2.DLL,那么第四步的时候
先备份文件,然后删除1.DLL,然后找出2.DLL中被查杀的API名称,记录之后
再复制一份原来的文件,然后删除2.DLL,然后找出1.DLL中被查杀的API名称
这样就能定位到所有被查杀的API了
4.精确输入表特征到API,先备份文件,然后LordPE中逐一修改API名称,根据3找出的DLL,对该DLL中的API进行逐一修改,修改一次查杀一次,直到不再查杀,以找出被查杀的API
当修改完某个API不杀以后,记录下该API,然后复制一份备份文件,直接找到该API并修改,如果修改后还杀,说明还存在其它被查杀的API,则继续定位,按此方法,直到找出
所有被查杀的API,如果不杀了,则你记录下的API就是所有特征了
5.4中得到的被查杀的API就是最终的特征码了,只需要对它进行免杀处理即可,
如果有源码可以直接动态调用
如果没有源码,可以写汇编代码实现动态调用,或者通过其它方式免杀
总结:
1.QVM和云引擎的查杀的特征
(1)API(最有可能)
(2)资源(有可能)
(3)代码(可能性小)
(4)其它特征
2.如果查杀API直接使用惯用的方法免杀即可
3.如果查杀资源,可以给程序添加上QQ,IE等正规文件的资源来伪装
4.如果查杀代码,可以按正常方式修改
5.如果查杀到其它特征,那么则需要自己去按照情况来修改了,因为我曾经做过一个有趣的实验,一个正常的文件,360是不查杀的,
但是我给他加一个区段,然后什么都没做,360却查杀了,按道理来说为了减少误报率应该不能把这个作为特征来查杀的,但是现在
360它查杀了,所以以后对360的免杀将会越来越麻烦,如果360依旧我行我素,那么它的误报率也将继续提高 加分 加分 累啊
For 云引擎+QVM引擎
补充下:360杀度的五引擎全部通过了,那么360卫士的QVM主动防御也就过了
1.用360杀毒扫描,查看病毒名
(1)如果病毒名为QVM类型,则在多引擎设置中取消云查杀引擎和常规反病毒引擎
(2)如果病毒名为云引擎类型(就是前面有一个云的图标),请先尝试修改文件MD5。
若修改后依旧被查杀,则在多引擎设置中取消QVM引擎和常规反病毒引擎
(3)若不符合以上两种情况,说明报毒类型为常规反病毒引擎,
如果是这样,那么在多引擎设置中取消云查杀引擎和QVM引擎,按正常定位方式定位即可
(它的常规反病毒引擎分为小红伞和BD,关于定位这两个杀毒引擎的方法和这两个杀毒引擎的特性,百度一下,马上知道,在这里就不说了)
2.尝试删除程序的输入表,再进行查杀
(1)删除后已经不查杀了,那么直接继续第3步
(2)删除后依旧还杀---修改伪装文件资源再看是否还杀----不杀-----继续第3步
(3)删除后依旧还杀---修改伪装文件资源再看是否还杀----还杀-----尝试定位代码部分,但不定位入口点部分----定位出后修改----不杀,在原来的文件中继续修改----继续第3步
3.精确输入表特征到DLL,逐一删除DLL,删除一次查杀一次,直到不再查杀,以找出特征所属DLL
(1)只删除掉一个DLL,就不查杀了------直接继续第4步
(2)删除掉多个DLL,才不查杀-----记下所有存在特征的DLL名称,在第四步的时候逐一定位,
比如特征存在于1.DLL和2.DLL,那么第四步的时候
先备份文件,然后删除1.DLL,然后找出2.DLL中被查杀的API名称,记录之后
再复制一份原来的文件,然后删除2.DLL,然后找出1.DLL中被查杀的API名称
这样就能定位到所有被查杀的API了
4.精确输入表特征到API,先备份文件,然后LordPE中逐一修改API名称,根据3找出的DLL,对该DLL中的API进行逐一修改,修改一次查杀一次,直到不再查杀,以找出被查杀的API
当修改完某个API不杀以后,记录下该API,然后复制一份备份文件,直接找到该API并修改,如果修改后还杀,说明还存在其它被查杀的API,则继续定位,按此方法,直到找出
所有被查杀的API,如果不杀了,则你记录下的API就是所有特征了
5.4中得到的被查杀的API就是最终的特征码了,只需要对它进行免杀处理即可,
如果有源码可以直接动态调用
如果没有源码,可以写汇编代码实现动态调用,或者通过其它方式免杀
总结:
1.QVM和云引擎的查杀的特征
(1)API(最有可能)
(2)资源(有可能)
(3)代码(可能性小)
(4)其它特征
2.如果查杀API直接使用惯用的方法免杀即可
3.如果查杀资源,可以给程序添加上QQ,IE等正规文件的资源来伪装
4.如果查杀代码,可以按正常方式修改
5.如果查杀到其它特征,那么则需要自己去按照情况来修改了,因为我曾经做过一个有趣的实验,一个正常的文件,360是不查杀的,
但是我给他加一个区段,然后什么都没做,360却查杀了,按道理来说为了减少误报率应该不能把这个作为特征来查杀的,但是现在
360它查杀了,所以以后对360的免杀将会越来越麻烦,如果360依旧我行我素,那么它的误报率也将继续提高 加分 加分 累啊
本回答由网友推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
AskForm360
2024-12-16 广告
360度评估反馈主要用于收集员工的工作技能、专业知识和工作风格、态度等方面的信息。下面是对这些内容的具体解释:工作技能:完成某项任务的能力;掌握某项技能的程度,例如进行策略性思考的能力、文字表达能力、指挥分配工作的能力、影响力、洽谈协商能力...
点击进入详情页
本回答由AskForm360提供
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
