免杀方法总结
免杀方法总结首先确定特征码所在区段
重点要掌握的是
PE header
Code
.Idata
大多数特征码都在代码段(code段)
DATA段里一般保存的是常量和变量
idata(imports)导入表区段一般也有xports或者两个结合在一起、
如果说特征代码在code 段我们可以用常用方法,跳转法,替换等等,如果不能用看看是不是子程序,也就是说
是不是属于call address或被call的内容.
如果他是在PE header 或者是imports里就不是这种修改方法了
如果特征码定位在PE header处可以使用maskpe(maskpe会增加区段使信息朝后移)、
如果特征码是乱码看不出是什么内容,这种一般采取入口加花或者直接加壳的方法。
如果是配置信息写入的(Offset)要先配置好木马在做免杀,否则加花加壳后会使文件的配置信息出现偏差
造成木马配置后,无法使用的情况
附加数据的免杀,不管是否加壳加花他都可以读取到数据,他的配置信息存放于程序的尾部,每次都是从
文件尾部读取
如果是过主动防御,卡巴你可以找到冷门的 code 程序存储区
data 直接寻址内部数据存储区
idata 间接寻址内部数据存储区
页:
[1]