唯一客服QQ号查询地点

无忧社区

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 30027|回复: 12

[交流] 免杀技术揭秘.

  [复制链接]
发表于 2012-6-27 12:07:41 | 显示全部楼层 |阅读模式
自从病毒与杀毒软件的诞生以来,他们之间的战争就从来没有停止过……多套特征码、自动脱壳、内存杀毒、主动防御等等的出现为网络安全做出了一次次的贡献,当然黑客们也毫不逊色,也出现了修改特征码、加双层变态壳、去文件头等新的免杀技术。
bbs.588wy.com bbs.588wy.com  古人云“知己知彼,方能百战不殆!”
bbs.588wy.com bbs.588wy.com  今天,我们就以一个病毒防御工作者的角度来做我们的免杀工作。想不被杀,就要先知道是怎么杀的,还不太懂的朋友赶紧偷偷借机恶补吧。
bbs.588wy.com bbs.588wy.com1.杀毒原理
bbs.588wy.com bbs.588wy.com  通常,一个病毒防御工作者拿到一个截获或上报上来的病毒时,先是分析这个病毒文件执行后的动作,所谓“动作”,就是指病毒文件执行后会做哪些操作。例如会生成什么新文件、怎样更改注册表、怎样注册服务、打开什么端口等等。
bbs.588wy.com bbs.588wy.com  搞明白这些后,下一步一般会研究这个病毒的文件结构,然后找出与众不同的地方,将其定义为特征码。而这个特征码定义的高明与否,就要看他定义的位置是否刁钻,例如他如果定义的是病毒文件更改注册表键值那部分代码的话,这显然不会太难!因为只要病毒文件更改键值,99%的情况下这个文件里一定存在被更改键值的字符串,所以找到这段字符串的位置就可以定义特征码了。但是针对这种特征码做免杀是非常容易的,只需找到相应的位置,并更改字母的大小写即可。而如果从文件头找出一段特征码就是非常不容易的事情了……除此之外,所定义的特征码还有一个分支,即内存特征码。所谓内存特征码就是指木马文件运行后释放到内存时所存在的特征,它的原理大体与上面介绍的文件特征码一样。
bbs.588wy.com bbs.588wy.com
bbs.588wy.com bbs.588wy.com 当特征码定义出来之后,就会被提交到另外的一个部门,然后进入病毒定义库,当用户更新后,以后杀毒软件在碰到符合要求的文件时就会将其毫不忧郁的杀掉!也就是说,杀毒软件只认特征码,不认文件。
bbs.588wy.com bbs.588wy.com  由此可见,病毒防御工作者寻找特征码的方式也不过如此,但这只是定义病毒文件特征码的工作,别的例如修复被感染文件等技术步骤和本文无关,在这也就不介绍了,有兴趣的朋友可以自己研究一下。
bbs.588wy.com bbs.588wy.com2.免杀分类
bbs.588wy.com bbs.588wy.com  免杀的方法有很多,无奈没见哪为朋友综合系统的介绍,也苦了小菜们求学无门,只好掏银子找“师傅”,所以我就自告奋勇站出来一次,不足之处还请各位高手多多包涵……
bbs.588wy.com bbs.588wy.com  我个人总结的免杀方法总共分两类,即主动免杀与被动免杀。
bbs.588wy.com bbs.588wy.com一、主动免杀
bbs.588wy.com bbs.588wy.com1.修改字符特征:主动查找可能的特征码,包括木马文件修改注册表、生成新文件的名称与路径、注入的进程名等动作,也包括运行过程中可能出现或一定会出现的字符等文件特征。然后找出这些字符,并将其修改。
bbs.588wy.com bbs.588wy.com2.修改输入表:查找此文件的输入表函数名(API Name),并将其移位。
bbs.588wy.com bbs.588wy.com3.打乱文件结构:利用跳转(JMP),打乱文件原有结构。
bbs.588wy.com bbs.588wy.com4.修改入口点:将文件的入口点加1。
bbs.588wy.com bbs.588wy.com5.修改PE段:将PE段移动到空白位置
bbs.588wy.com bbs.588wy.com二、被动免杀
bbs.588wy.com bbs.588wy.com1.修改特征码:用一些工具找出特征码并针对特征码做免杀处理。
bbs.588wy.com bbs.588wy.com2.用Vmprotect:使用Vmprotect加密区段。
bbs.588wy.com bbs.588wy.com3.文件加壳:可以用一些比较生僻的壳对木马文件进行保护。
bbs.588wy.com bbs.588wy.com  有的朋友看到这里有可能蒙了,PE、Vmprotect、入口点……这些都是什么意思啊?不要着急,下面我会一一介绍的,只要你看完这篇文章,就一定会成为免杀高手!怎么样?Go!
bbs.588wy.com bbs.588wy.com3.实战演习
bbs.588wy.com bbs.588wy.com1.)修改字符特征
bbs.588wy.com bbs.588wy.com  好,下面我们依然以一个病毒防御工作者的角度来考虑我们每一步应该做什么,然后在利用逆向思维分而治之。
bbs.588wy.com bbs.588wy.com现在假如我们拿到一个木马样本灰鸽子,首先当然要分析它究竟有什么功能,怎样运行以及怎样保护自己等。其实这一步要求的专业知识是很多的,但考虑到我们的读者,我们暂且用一个比较简单易行的方法——运行木马AND查看此程序的帮助文档。
bbs.588wy.com bbs.588wy.com  我们打开RegSnap,新建一个快照,打开RegSnap后,点击[新建快照]按钮(如图1),在弹出的对话框中选择[生成所有项目的快照](如图2)。
bbs.588wy.com bbs.588wy.com  然后保存快照,现在已经将RegSnap配置好了,下面运行我们的木马程序(提醒:做免杀时,一定要记住养好随时备分的好习惯,以防止修改错误或是实验运行时破坏、删除木马)。
bbs.588wy.com bbs.588wy.com木马运行完毕后,我们在按照上面的方法重新做一个快照并保存,然后按快捷键F5,在弹出的“比较快照”对话框中选择刚才保存的快照,在“第一个快照”中选择我们刚才第一次保存的快照,而“第二个快照”选择我们后保存的快照存档,很快结果就出来了(如图3)。
bbs.588wy.com bbs.588wy.com  有的朋友对于使用RegSnap收集到的信息感到无力分析,抱怨收集到的东西太多,在这里我简单的介绍一下,首先应注意的是生成做对比的两个快照之间的时间要尽可能短,另外要排除带有OpenSaveMRU的注册表键值,还要排除有关*.rsnp文件的创建读写等操作记录。下面我们就将有用的信息提取出来,逐一分析。
bbs.588wy.com bbs.588wy.com文件列表于 C:\WINDOWS\*.*
bbs.588wy.com bbs.588wy.com新增文件
bbs.588wy.com bbs.588wy.com木马.exe
bbs.588wy.com bbs.588wy.com注册表报告
bbs.588wy.com bbs.588wy.com新增主键
bbs.588wy.com bbs.588wy.comHKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Documents and Settings\A1Pass-admin\桌面\huigezi\复件 Server02.exe
bbs.588wy.com bbs.588wy.com键值: 字符串: "复件 Server02"
bbs.588wy.com bbs.588wy.comHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\Class
bbs.588wy.com bbs.588wy.com键值: 字符串: "LegacyDriver"
bbs.588wy.com bbs.588wy.comHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\ClassGUID
bbs.588wy.com bbs.588wy.com键值: 字符串: "{8ECC055D-047F-11D1-A537-0000F8753ED1}" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\Control\ActiveService
bbs.588wy.com bbs.588wy.com键值: 字符串: "木马服务"
bbs.588wy.com bbs.588wy.comHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\木马服务\Description
bbs.588wy.com bbs.588wy.com键值: 字符串: "灰鸽子服务端程序。远程监控管理."
bbs.588wy.com bbs.588wy.com……
bbs.588wy.com bbs.588wy.com  这里我只摘录了部分关键性的木马动作记录,全部记录请见光盘。通过文件列表我们可以知道木马在WINDOW目录下生成了一个新文件,而通过注册表的监控信息我们也知道了木马是怎样将自己注册为系统服务并自动运行的。
bbs.588wy.com bbs.588wy.com  那么我们回到瑞星的研究分析室,看看那些大哥大姐们会怎么办……
bbs.588wy.com bbs.588wy.com  瑞星大哥:“最近这灰鸽子太猖狂啦!我们是不是应该多定义几套特征码?”
bbs.588wy.com bbs.588wy.com  瑞星大姐:“恩,不错!先在注册表那定义一套特征码在说吧。”
bbs.588wy.com bbs.588wy.com  A1Pass:“STOP!!”(只见画面突然定格,A1Pass将播放器最小化。)
bbs.588wy.com bbs.588wy.com  通过上面的对话,我们可以知道他们要将注册表的某个字符定义为特征码,从上面RegSnap分析出来的记录来看,他们的选择真的是太多了!那么他们究竟会用到哪些呢?其实,就做为一个黑客来讲,只要不影响服务端正常运行,就应该尽量多的改掉木马的所有字符,当然全部改变是不可能的,除非你自己编写木马。
bbs.588wy.com bbs.588wy.com  有的朋友要问了,除了注册表别的就不可以改了吗?答案当然是否定的,譬如生成新文件的名称与路径、注入的进程名等动作,这些我们可以利用WINDOWS对字母大小写不敏感的这一特点直接替换字母的大小写,而对于运行过程中可能出现或一定会出现的字符等我们可以直接将其替换成别的内容。
bbs.588wy.com bbs.588wy.com下面我为大家演示一下怎样更改注入进程的名称。
bbs.588wy.com bbs.588wy.com  首先配置服务端,通过图4我们可以看出来灰鸽子的启动运行是需要“IEXPLORE.EXE”这个进程的,根据注册表的推理,我们可以认为其未加壳的服务端是应该存在“IEXPLORE.EXE”这一字符串的。既然如此,我们就先请出我们的第一把武器“WinHex”!
bbs.588wy.com bbs.588wy.comWinHex是一款极为出名16进制编辑器。得到 ZDNetSoftwareLibrary 五星级最高评价,拥有强大的系统效用。在这里,我们只用它来编辑文件,其余不做过多讨论。首先我们用WinHex打开我们的木马文件“Server.exe”,打开后如图5所示。
bbs.588wy.com bbs.588wy.com  然后我们按[Ctrl]+[F]快捷键调出查找文本对话框,输入IEXPLORE.EXE后点击“是”(如图6)。
bbs.588wy.com bbs.588wy.com  结果如图7所示。下面我们就对其进行大小写转换,用鼠标点击要更改的字母(例如I),然后在按键盘上的i,即可完成更改,就象使用WINDOWS的记事本一样。更改完毕后,按[Ctrl]+[S]快捷键保存即可。
bbs.588wy.com bbs.588wy.com  就这么简单?对!就这么简单!其他的例如注册表、生成新文件的名称与路径等等都可以利用此方法更改。
bbs.588wy.com bbs.588wy.com  但是不幸的是,经过这样改后,还不足以对付例如金山、江民等品牌杀毒软件,要想对付这些杀毒软件的查杀,我们还需要对我们的木马进行进一步处理。
bbs.588wy.com bbs.588wy.com  下面,我们开始学习输入表函数(APIName)免杀!
bbs.588wy.com bbs.588wy.com2.)修改输入表
bbs.588wy.com bbs.588wy.com  不知有的朋友是否知道,PE文件的正常运行是离不开其内部输入表函数的,而不同的程序,其内部输入表函数的名称与在文件中的位置是不一样的,所以输入表函数也成了病毒防御工作者制作特征码紧盯的地方之一。在我查出来的关于灰鸽子的特征码来看,“瑞星大哥”已经将其的一处输入表函数作为特征码了。所以掌握输入表函数免杀技巧对于新入门的朋友来说势在必行!   
bbs.588wy.com bbs.588wy.com  [PE文件小知识:PE文件是WINDOWS系统中特有的一种文件结构,它包括PE文件头、输入表与相关资源文件等等]
bbs.588wy.com bbs.588wy.com  经过我的测试,直接单独修改文件内部的输入表函数会导致程序运行不正常甚至崩溃!那就没有办法了吗?我可没那么容易认输!经过一翻苦战,终于让我在LordPE中找到了解决办法,同时FoBnN的文章也给了我非常大的启发……
bbs.588wy.com bbs.588wy.com  我们先打开LordPE,点击[PE编辑器]按钮,在弹出的对话框中选中木马文件,打开后点击[目录](如图8),再点击导入表后面的[…](如图9)。
bbs.588wy.com bbs.588wy.com  在弹出的对话框中我们选择wininet.dll下的InternetOpenUrlA(如图10),有的朋友要问了,为什么非选择InternetOpenUrlA这个输入表函数呢?呵呵!那是因为这个输入表里有特征码哦,关于怎样确定特征码,我在后面会介绍,大家先别着急。
bbs.588wy.com bbs.588wy.com  好的,关于LordPE就先停在这,下面我们就用WinHex来查找InternetOpenUrlA这个输入表函数的所在位置,并将其用0填充(操作方法:单击WinHex右面的16进制信息,输入0即可)(如图11、12)。
bbs.588wy.com bbs.588wy.com  然后将其写到空白区域(既显示000000的区域),一定要从头开始写入,这样在以后计算地址时不容易出错,除此之外也要注意输入表函数的大小写不要搞错(如图13)。
bbs.588wy.com bbs.588wy.com  保存后我们在回到LordPE那里,在需要更改的InternetOpenUrlA输入表函数上单击右键,在弹出的菜单里选择“编辑”,将Thunk里的信息改成000B9D5E(如图14)即可。
bbs.588wy.com bbs.588wy.com  有的朋友要问了,刚才我们不是把那个输入表函数放到000B9D60那里了吗?到这怎么变成000B9D5E了?其实原理很简单,因为每个输入表函数前面都是有一个空格的,我们虽不用真正把那个空格加进去,但填写它的地址时一定要空出来,否则就会出错!而将000B9D60减去一个空格所占的位置,其地址正好为000B9D5E,还不十分明白的朋友在仔细看看图13,下面我们在回到LordPE,看看我们改过的输入表函数变成什么样了(如图15)?
bbs.588wy.com bbs.588wy.com  那我们该怎么办呢?其实简单的很,只要在重新改一下输入表函数的名称就可以了(如图16)。
bbs.588wy.com bbs.588wy.com  有的时候因为我们所填写的地址为比较靠后的,例如我们现在改的这个000B9D5E,后面仅能容纳两个字节,所以更改输入表函数时只能键入两个字,对于这种情况我们可以先把Thunk里的信息改成如000B9D60这样的起始地址,改输入表函数名更改完毕后在将000B9D60改回原来的值(既000B9D5E),保存后即可成功,我们试一下看看(如图17)。
bbs.588wy.com bbs.588wy.com经测验鸽子的各项功能均正常!在用瑞星查一下试试(如图18),结果当然不言而喻……
bbs.588wy.com bbs.588wy.com
bbs.588wy.com bbs.588wy.com3.)修改特征码
bbs.588wy.com bbs.588wy.com  虽然到这我们免杀已经成功,但是为了学到更多的技术,为了让我们免杀的鸽子存活的更久,下面我在为大家介绍一下特征码的查找与修改技巧。
bbs.588wy.com bbs.588wy.com  特征码是杀毒软件的心脏,但同样也是我们的心脏!就看谁先找到对方地心脏,并能发出致命一击,谁就是胜利者!
bbs.588wy.com bbs.588wy.com黑白免费送信 每晚8点。 收徒弟  找代理  更多业务在QQ空间日志价格表 QQ:512458011
bbs.588wy.com bbs.588wy.com  一提到查找特征码,就不得不说说MyCCL与CCL,这两个软件的名字相信留心过免杀技术的朋友不会陌生,但由于软件操作的傻瓜化,很多时候对于CCL的介绍只是一带而过,这可苦了入门的朋友!
bbs.588wy.com bbs.588wy.com  这一小节我就先介绍一下MyCCL的用法……
bbs.588wy.com bbs.588wy.com  我们先来认识一下MyCCL(如图19),根据这张图我们下面就来大体介绍一下MyCCL的应用方法。首先点击第1处选择文件,然后在第2处输入分块个数,分块个数越多,定位越精确,然而生成的速度同时也就越慢,生成的文件总体积也就越大,就象灰鸽子这么大的服务端,如果分块数为300的话,那么它生成文件的总体积将超过230M!所以在这里不建议填写太大的数字,一般象灰鸽子这样的服务端分块数填400个就足够了。生成完毕后会弹出个对话框提醒你去相应目录杀毒,图中所示为“E:\文章\极度免杀\鸽子\OUTPUT”文件夹,我们到那个文件夹下开始杀毒,查到病毒就让杀毒软件将其彻底删除,注意,这一点很重要!处理完毕后点击第3处的二次处理,在点击[生成]上面的[特征区间]按钮即可出现右面的对话框。
bbs.588wy.com bbs.588wy.com  下面我们在“区间设定”里右键单击特征码区间,在弹出的菜单中选择“复合精确定位此处特征”(如图20),然后重复上面的操作,直到你认为[单位长度]已经小到很方便更改的时候,特征码的定位就算结束了。
bbs.588wy.com bbs.588wy.com  好了,一口气说了这么多,不知道刚入门的朋友是否懂得一些MyCCL的用法了没有……
bbs.588wy.com bbs.588wy.com  但是上面我们定位的是文件特征码,还有内存特征码没有定义,这里我们要用到CCL的内存特征码定位功能,打开CCL后,我们依次选择[文件]→[特征码验测]→[内存特征码]          在弹出的对话框中选择我们要进行免杀操作的木马,然后会进入“定位范围选择窗口”(如图22)。
bbs.588wy.com bbs.588wy.com  由图中可知,第一个CODE段的偏移量为00000400,也就是说我们可以用00000400做为起始位置,那么我么就在用户输入区的“起始位置”处填写00000400,下面的那个验测大小怎么填写呢?看到图22中画线的那个“当前文件大小”了吗?我们可以用WINDOWS系统自带的计算器进行计算,把计算器的“查看”菜单设置为科学型、十六进制、四字(如图23)。
bbs.588wy.com bbs.588wy.com  然后用当前文件大小的值减去起始值00000400,得到的结果为000B9A00,那么我们就在“验测大小”后填上000B9A00,然后点击“填加区段”按钮(如图24)。
bbs.588wy.com bbs.588wy.com  最后点击确定,在新弹出的对话框中点击运行,不过需要注意的是,在进行此步操作时一定要打开杀毒软件的所有功能。下面你要做的就是等待……
bbs.588wy.com bbs.588wy.com  然而光找特征码是不够的,我们还得学会怎样更改,而关于特征码地更改是非常有学问的!这里为了方便广大读者能学以致用,在此我只介绍部分理论知识,着重介绍实践操作,但是我想请大家注意,免杀的方法象你做完免杀的木马一样,都有生存时间,而过了这个时间,这种免杀方法就变的不在实用,或者免杀效果大打折扣!所以要想真正成为免杀高手,还的打牢基本功,不断创造出新的免杀方法,因为我们是在与杀毒软件厂商的专业技术人员“斗法”啊!
bbs.588wy.com bbs.588wy.com  关于需要注意的问题就先讲的这,下面我带大家先来了解一下目前更改特征码的办法。
bbs.588wy.com bbs.588wy.com1. 大小写替换(只适用于文件免杀)
bbs.588wy.com bbs.588wy.com适 用 于:出现可识别的英文字母或词组,并且确定其不是相关函数(如输入表函数)。
bbs.588wy.com bbs.588wy.com操作方法:如咱们“实战演习”的第一节讲的一样,只须将大小写替换一下就可以了,例如特征码中出现了A,你只要将其替换为a即可。
bbs.588wy.com bbs.588wy.com原  理:利用WINDOWS系统对大小写不敏感,而杀毒软件却对大小写非常敏感这一特性达到免杀目的。
bbs.588wy.com bbs.588wy.com2.用00填充
bbs.588wy.com bbs.588wy.com适 用 于:几乎任何情况,但成功率不是非常高。
bbs.588wy.com bbs.588wy.com操作方法:例如我们找到了一处特征码0009EE7F_00000005,那么根据这段特征码信息我们可以知道它的位置在0009EE7F,大小为5个字节,也就是0009EE7F-0009EE83这一段内容(如图25)。
bbs.588wy.com bbs.588wy.com     
bbs.588wy.com bbs.588wy.com  一直跟着文章实践操作的朋友肯定有疑问,你是怎么找到那个地址的呢?而我怎么找不到呢?那是因为WinHex的默认偏移量为decimal模式,我们单击Offset栏将其改为16进制模式即可(如图26)。
bbs.588wy.com bbs.588wy.com
bbs.588wy.com bbs.588wy.com  然后我们有选择的一处处地用00填充(如图27)。
bbs.588wy.com bbs.588wy.com         
bbs.588wy.com bbs.588wy.com  记住要多试几次,80%的情况下你都能找到一处既能免杀又不影响程序正常运行的区域。对于定义出的内存特征码,只要将其内存地址用一个叫做《便宜量转换器》的小程序转换成16进制偏移量,然后在进行相应操作即可。
bbs.588wy.com bbs.588wy.com原  理:由于PE文件的特殊格式以及程序编译语言等问题,使得生成目标代码的效率并不高,难免出现一些“垃圾信息”,而这些信息存在与否对与程序是否能正常运行并不起决定性的作用,而当木马的这部分“垃圾信息”被定义为特征码时,我们完全可以将其删除,而删除的方法就是用无任何意义的00将其替换。
bbs.588wy.com bbs.588wy.com3.跳到空白区域
bbs.588wy.com bbs.588wy.com适 用 于:几乎任何情况,成功率比较高。
bbs.588wy.com bbs.588wy.com操作方法:还是以特征码0009EE7F_00000005为例子,假如我们使用00填充的方法失败了那么不要多想,接下来马上试试OllyDbg,关于OllyDbg我就不多介绍了,它是非常棒而且非常专业的一个动态反汇编/调试工具,这里我们只用它来帮助我们进行免杀作业,首先应该做的就是将我们的16进制偏移量0009EE7F转换为内存地址,因为OllyDbg的工作原理是先将程序释放到内存空间里,然后才能进行相关作业…这里要用到的是一个叫做《便宜量转换器》的小程序,我们用其转换完毕后得到的内存地址为0049FA7F(如图28)。
bbs.588wy.com bbs.588wy.com     
bbs.588wy.com bbs.588wy.com  下面我们用OllyDbg打开我们的木马服务端,首先找到一处空白区,并域记下这的地址004A24A5,然后找到我们刚转换过来的地址0049FA7F,先将以0049FA7F开始以下的这三行数据选定,然后单击右键选则[复制]→[到接剪贴板]将其复制到本文文档里备用,然后在将这三行代码一一NOP掉(如图30)。
bbs.588wy.com bbs.588wy.com        
bbs.588wy.com bbs.588wy.com  最后右键点击0049FA7F,在弹出的对话框中选择汇编,并写入“jmp 004A24A5”这条汇编指令(如图31)。
bbs.588wy.com bbs.588wy.com         
bbs.588wy.com bbs.588wy.com  记住,在点击[汇编]按钮之前一定先把“使用 NOP 填充”前面的勾去掉。然后我们记下汇编后0049FA7F的下面那个地址0049FA84(仔细观察图31)。好,下面我们回到004A24A5这处刚才找到的空白地址(如图32)。
bbs.588wy.com bbs.588wy.com     
bbs.588wy.com bbs.588wy.com  然后用刚才汇编的方法把在本文文档里备用的信息一句句地汇编进去,然后在将最后一句代码的下一行004A24AA处加入“jmp 0049FA84”这行代码(如图33)。
bbs.588wy.com bbs.588wy.com     
bbs.588wy.com bbs.588wy.com  然后单击右键→[复制到可执行文件]→[所有修改](如图34)。
bbs.588wy.com bbs.588wy.com         
bbs.588wy.com bbs.588wy.com  在弹出的对话框中选择“全部复制”然后保存即可。而对于内存免杀就省去了内存地址转换这一步了。
bbs.588wy.com bbs.588wy.com原  理:大家先看图35,由图中可知,正象此方法的名字“跳到空白区域”一样,这种方法的原理就是将原本含有特征码的信息转移到空白区域,并把原先位置的信息全部NOP掉,并在那里加一个跳转指令,让其跳到004A24A5处,也就是我们找到的空白区域,并把原来在0049FA84的信息移到这里,加完信息后在加一条指令让其在跳回去,以使程序连贯起来。
bbs.588wy.com bbs.588wy.com     
bbs.588wy.com bbs.588wy.com4.上下互换
bbs.588wy.com bbs.588wy.com适 用 于:几乎任何情况,成功率比较高。
bbs.588wy.com bbs.588wy.com操作方法:先用OllyDbg载入木马程序,假定其特征码为0009EE7F_00000005,我们还是先用《偏移量转换器》将其转换为内存地址,上面我们已经知道0009EE7F对应的内存地址为0049FA7F,然后在OllyDbg中找到相应位置,利用上面“跳到空白区域”里介绍的修改方法将0049FA7F上下两句代码调换位置即可。而对于内存免杀就省去了内存地址转换这一步了。
bbs.588wy.com bbs.588wy.com原  理:杀毒软件的特征码定位是严格按照相关偏移量于内存地址进行的,而其实我们的应用程序中的机器码执行顺序的先后在一般情况下是没有死规定的,所以我们只需将其上下互换,杀毒软件自然就不认识了。
bbs.588wy.com bbs.588wy.com5.ADD与SUB 互换
bbs.588wy.com bbs.588wy.com适 用 于:在内存特征码中出现ADD或 SUB指令的,成功率比较高。
bbs.588wy.com bbs.588wy.com操作方法:用OllyDbg载入木马程序,假定其特征码所对应的地址中有ADD或SUB指令,例如00018A88:XXXXX 00000088 ADD ECX 10000000
bbs.588wy.com bbs.588wy.com我们可以将ADD ECX 10000000这段机器码改为SUB ECX F0000000,
bbs.588wy.com bbs.588wy.com更改完毕后保存为EXE文件即可。
bbs.588wy.com bbs.588wy.com原  理:我们都知道1+1=2,我们也知道1-(-1)=2,上面就是利用了这个原理,其中ADD指令的就是加意思,而SUB则是减的意思。虽然被我们互换了一下,但是最终结果还是一样的,可是换完之后杀毒软件就不认识了。
bbs.588wy.com bbs.588wy.com  到这里,关于特征码的查找与修改就讲完了,但是除此之外呢?答案是还有许多!!下面我们就一起看看其他免杀方法。
bbs.588wy.com bbs.588wy.com4.)其他免杀方法
bbs.588wy.com bbs.588wy.com改文件头:
bbs.588wy.com bbs.588wy.com  这里所说的改文件头包括加头去头,文件加花。关于加头去头,我们还是用OllyDbg。用OllyDbg载入后,OllyDbg会自动停在入口点(如图36)。
bbs.588wy.com bbs.588wy.com  我们将头三行机器码复制保存起来,然后找到空白区域,用汇编的方法一一将其写入(如图37)。
bbs.588wy.com bbs.588wy.com  然后在后面写入一条JMP指令,让其跳到初始入口点的第四行,相信一直仔细看本文的朋友一定明白其原理,如果忘了的话可以看上面修改特征码的第三种方法,原理与这差不多,修改完毕后如下所示:
bbs.588wy.com bbs.588wy.com004A2A73  0000    add byte ptr ds:[eax],al
bbs.588wy.com bbs.588wy.com004A2A75  0000    add byte ptr ds:[eax],al
bbs.588wy.com bbs.588wy.com004A2A77  55     push ebp
bbs.588wy.com bbs.588wy.com004A2A78  8BEC    mov ebp,esp
bbs.588wy.com bbs.588wy.com004A2A7A  B9 04000000 mov ecx,4
bbs.588wy.com bbs.588wy.com004A2A7F ^ E9 CCF3FFFF jmp Server.004A1E50
bbs.588wy.com bbs.588wy.com004A2A84  0000    add byte ptr ds:[eax],al
bbs.588wy.com bbs.588wy.com004A2A86  0000    add byte ptr ds:[eax],al
bbs.588wy.com bbs.588wy.com004A2A88  0000    add byte ptr ds:[eax],al
bbs.588wy.com bbs.588wy.com  上面的add byte ptr ds:[eax],al就是所谓的空白区域,我们看到改完后的头文件位于004A2A77,所以我们还要用PEditor改一下入口点,打开PEditor后载入文件,将入口点处的地址改为我们的新文件头地址004A2A77(如图38),保存后即可。
bbs.588wy.com bbs.588wy.com入口点加1:
bbs.588wy.com bbs.588wy.com  打开PEditor后载入文件,将原来的入口点+1即可,例如我们的入口点为004A2A77,加1后应该是004A2A78(如图39),然后点击“应用更改”即可完成更改。
bbs.588wy.com bbs.588wy.com  用这种简便的免杀方法即可以轻松的对付大部分杀毒软件。
bbs.588wy.com bbs.588wy.com用Vmportect加密:本文来源于588论坛http://bbs.588wy.com .请勿转载,违者必究!支持原创!

无忧论坛 bbs.787wy.com欢迎你,分享最好的DNF黑信,提供最好的DNF破安全工具供你下载,QQ开钻技术每日更新,最大的QQ业务乐园,易语言 外挂源码免费下载哦

头像被屏蔽
发表于 2012-10-29 14:00:25 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽

无忧论坛 bbs.787wy.com欢迎你,分享最好的DNF黑信,提供最好的DNF破安全工具供你下载,QQ开钻技术每日更新,最大的QQ业务乐园,易语言 外挂源码免费下载哦

头像被屏蔽
发表于 2012-10-31 09:51:22 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽

无忧论坛 bbs.787wy.com欢迎你,分享最好的DNF黑信,提供最好的DNF破安全工具供你下载,QQ开钻技术每日更新,最大的QQ业务乐园,易语言 外挂源码免费下载哦

发表于 2012-11-18 12:55:17 | 显示全部楼层
看过必回,人品超好,灵讯软件最好的(hslx.org)短信群平台QQ1871821925








灵讯软件最好的短信群发平台 hslx.org 责任、勤奋、专业、创新

无忧论坛 bbs.787wy.com欢迎你,分享最好的DNF黑信,提供最好的DNF破安全工具供你下载,QQ开钻技术每日更新,最大的QQ业务乐园,易语言 外挂源码免费下载哦

头像被屏蔽
发表于 2012-11-21 08:14:39 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽

无忧论坛 bbs.787wy.com欢迎你,分享最好的DNF黑信,提供最好的DNF破安全工具供你下载,QQ开钻技术每日更新,最大的QQ业务乐园,易语言 外挂源码免费下载哦

发表于 2012-11-25 12:14:49 | 显示全部楼层
看看看看看看看看看看看看看看看看看看

无忧论坛 bbs.787wy.com欢迎你,分享最好的DNF黑信,提供最好的DNF破安全工具供你下载,QQ开钻技术每日更新,最大的QQ业务乐园,易语言 外挂源码免费下载哦

发表于 2013-10-6 14:09:03 | 显示全部楼层
QQ:599746566,货到付款。

无忧论坛 bbs.787wy.com欢迎你,分享最好的DNF黑信,提供最好的DNF破安全工具供你下载,QQ开钻技术每日更新,最大的QQ业务乐园,易语言 外挂源码免费下载哦

发表于 2013-10-23 14:41:16 | 显示全部楼层
这个还不错,好帖子,大家谈谈











不收费 在家兼职,轻松工作

①自己有上网条件,上网熟练;

③年龄地区不限,在职或学生皆可

⑤有简单网络知识和网购经验基础者优先

待 遇:多劳多得,保底 80-120 元/小时(支付宝 、网银,既时结算!)

若有意请加 Q Q 咨询客服部:QQ:656589381

无忧论坛 bbs.787wy.com欢迎你,分享最好的DNF黑信,提供最好的DNF破安全工具供你下载,QQ开钻技术每日更新,最大的QQ业务乐园,易语言 外挂源码免费下载哦

发表于 2016-3-1 18:29:29 | 显示全部楼层
还没有机会尝试一下 帮顶

无忧论坛 bbs.787wy.com欢迎你,分享最好的DNF黑信,提供最好的DNF破安全工具供你下载,QQ开钻技术每日更新,最大的QQ业务乐园,易语言 外挂源码免费下载哦

发表于 2016-8-25 23:32:15 | 显示全部楼层
确实值得好好看看,顶先












{niubi}

无忧论坛 bbs.787wy.com欢迎你,分享最好的DNF黑信,提供最好的DNF破安全工具供你下载,QQ开钻技术每日更新,最大的QQ业务乐园,易语言 外挂源码免费下载哦

回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关闭

吾易论坛高级搜索

站内搜索

查看 »

关于我们  |   新手教程  |   高级搜索  |   友情链接  |   加入VIP  |   广告合作  |   Archiver  |   网站地图  |   手机版  |   返回顶部
版权所有:588论坛 系统支持:Discuz!

免责声明:本社区所有内容仅代表发表者个人观点,禁止色情,政治,反动等国家法律不允许的内容,注意自我保护,谨防上当受骗!

   游戏信封,游戏箱子,箱子信封黑信免费测试,信封箱子黑信当天更新,游戏信封网,游戏箱子网站,游戏黑信信封网,游戏黑信,永恒之塔信封,永恒之塔黑信,永恒之塔箱子一手信,大话2信封箱子一手信黑信,梦幻诛仙箱子信封黑信一手信,名将三国箱子信封黑信一手信,名将三国信封箱子黑信一手信,DNF箱子信封黑信一手信,DNF信封,WOW信封箱子黑信一手信,QQ信封箱子黑信一手信,QQ一手信箱子,成吉思汗信封,热血信封,诛仙2信封,完美信封等,梦幻诛仙箱子,跑跑卡丁车箱子,及各种游戏箱子 出租,制作,代码销售,木马销售,冒险岛一手信,冒险岛箱子信封,冒险岛二手信,冒险岛马信,冒险岛黑信,冒险岛老信,魔域箱子信封,QQ斗战神箱子信封,QQ御龙在天箱子信封,QQ剑灵箱子信封,QQ仙侠传箱子信封,永恒之塔箱子信封,天龙八部箱子信封,彩虹岛箱子信封,热血江湖箱子信封,热血传奇箱子信封,倩女幽魂箱子信封,鹿鼎记箱子信封,笑傲江湖箱子信封,新寻仙箱子信封,问道箱子信封,剑网3箱子信封,蜀门箱子信封,梦三国箱子信封,英雄联盟箱子信封黑信,大话西游2箱子信封,传奇世界箱子信封,神谕之战箱子信封,TERA箱子信封,激战2箱子信封,桃花源记箱子信封,大唐无双箱子信封,刀剑英雄箱子信封,新破天一剑箱子信封,天下3箱子信封,新英雄年代箱子信封,天涯明月刀箱子信封,巨人箱子信封,新水浒Q传箱子信封,射雕ZERO箱子信封,醉逍遥之惊天变箱子信封,QQ三国箱子信封,新天龙八部箱子信封,WOW箱子信封,魔兽世界箱子信封,传奇世界2箱子信封,暗黑之光箱子信封,不灭OL箱子信封,飚车世界箱子信封,兵王箱子信封,霸王II箱子信封,宝莲传说箱子信封,冰火战歌箱子信封,碧雪情天OL箱子信封,霸三国箱子信封,冰火纪元箱子信封,爆裂天空箱子信封,北欧战纪箱子信封,冰火传奇箱子信封,白蛇传说箱子信封,补天志箱子信封,八仙传箱子信封,成吉思汗箱子信封,成吉思汗怀旧版箱子信封,赤壁箱子信封,创想兵团箱子信封,Cabal1.5箱子信封,传说OL箱子信封,超神箱子信封,传奇演义箱子信封,超能战联箱子信封,苍生OL箱子信封,重返神州箱子信封,宠物王国箱子信封,传奇无双箱子信封,超级舞者箱子信封,传奇永恒箱子信封,苍天2箱子信封,长江七号箱子信封,赤壁之战箱子信封,超级跑跑箱子信封,出发OL箱子信封,春秋Q传箱子信封,创世2箱子信封,传奇霸主箱子信封,传世群英传箱子信封,超神英雄箱子信封,传奇归来箱子信封,宠物森林箱子信封,创世神话箱子信封,传奇续章箱子信封,传奇之光箱子信封,夺宝传世箱子信封,刀剑英雄箱子信封,大唐无双2箱子信封,大明龙权箱子信封,东方故事箱子信封,大航海时代OL箱子信封,DOTA2箱子信封,敦煌箱子信封,第三把剑箱子信封,独孤求败箱子信封,大唐2箱子信封,大冲锋箱子信封,大话外传新篇箱子信封,地城之光箱子信封,大话红楼箱子信封,大唐无双2-英雄箱子信封,代号105箱子信封,帝国传奇箱子信封,刀锋铁骑箱子信封,电影帝国箱子信封,大海战Ⅱ箱子信封,斗神箱子信封,斗代号EAST箱子信封,斗舞派箱子信封,大武侠OL箱子信封,大话战国III箱子信封,大秦箱子信封,丢丢箱子信封,刀剑笑OL箱子信封,达芬奇箱子信封,大决战箱子信封,大侠Q传箱子信封,大海战3箱子信封,大秦无双箱子信封,疾风之刃箱子信封黑信,神武箱子信封一手信黑信,游戏信封游戏箱子游戏信封网黑客网站,悠悠信封箱子网,午夜工作室箱子信封黑信,随风工作室,008平台信封,大宋箱子信封,东方仙境箱子信封,斗破苍穹OL箱子信封,大话战国2箱子信封,魔域盗号箱子,九阴真经箱子信封。更多尽在唯一蓝鸟社区bbs.588wy.com,天龙八部3信封箱子黑信,剑侠情缘3箱子信封黑信,FIFAOL3箱子信封黑信,最终幻想14FF14箱子信封黑信,QQ华夏箱子信封黑信,奇迹MU箱子黑信封,2017最新黑信封箱子,疾风之刃一手信,QQ三国箱子信封黑信,最新QQ好友信封,笑傲江湖OL黑信箱子信封,QQ忽悠信封当天Q扫信,2015免费箱子信封黑信下载,最新疾风之刃箱子信封,QQ好友站街地区统一密保信封,2015免费游戏信封,最新冒险岛2黑信一手箱子,天刀信封,天刀黑信,天刀箱子,天涯明月刀黑信箱子信封,台服冒险岛枫之谷黑信,守望先锋黑信封,DNF黑信|DNF信封|DNF一手信|下载 问道黑信|问道信封|问道一手信下载| 魔域黑信|魔域信封|魔域一手信下载| 天龙八部黑信|天龙八部信封下载| 天龙八部黑信每日更新下载| LOL黑信|LOL信封下载| LOL黑信每日更新下载| QQ三国黑信|QQ三国信封下载| 梦三国黑信|梦三国信封下载| 剑灵黑信|剑灵信封下载| 剑灵黑信每日更新下载| 热血江湖黑信|热血江湖信封下载| 热血江湖黑信每日更新下载| 守望先锋黑信|守望先锋信封下载| 守望先锋黑信每日更新下载| 新寻仙黑信|新寻仙信封下载| 新寻仙黑信每日更新下载| 传奇霸业黑信|传奇霸业信封下载| 传奇霸业黑信每日更新下载| CSOL黑信|CSOL信封下载| 新寻仙黑信每日更新下载| QQ信封|QQ广告信|QQ一手信|微信信封| QQ信封QQ好友信微信信封|
返回顶部