【3.A.S.T】网络安全爱好者's Archiver

黑客学习

valen886 发表于 2008-7-27 09:03

免杀方法总结

免杀方法总结
首先确定特征码所在区段
重点要掌握的是

PE header
Code
.Idata

大多数特征码都在代码段(code段)
DATA段里一般保存的是常量和变量
idata(imports)导入表区段一般也有xports或者两个结合在一起、
如果说特征代码在code 段我们可以用常用方法,跳转法,替换等等,如果不能用看看是不是子程序,也就是说
是不是属于call address或被call的内容.
如果他是在PE header 或者是imports里就不是这种修改方法了
如果特征码定位在PE header处可以使用maskpe(maskpe会增加区段使信息朝后移)、
如果特征码是乱码看不出是什么内容,这种一般采取入口加花或者直接加壳的方法。

如果是配置信息写入的(Offset)要先配置好木马在做免杀,否则加花加壳后会使文件的配置信息出现偏差
造成木马配置后,无法使用的情况
附加数据的免杀,不管是否加壳加花他都可以读取到数据,他的配置信息存放于程序的尾部,每次都是从
文件尾部读取
如果是过主动防御,卡巴你可以找到冷门的

hilarylove 发表于 2008-11-25 18:59

code     程序存储区
data     直接寻址内部数据存储区
idata    间接寻址内部数据存储区

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.