【3.A.S.T】网络安全爱好者's Archiver

黑客学习

jjcd 发表于 2008-7-27 09:03

解决加花指令后运行出错问题

解决加花指令后运行出错问题
1.分析其原因:我们加花指令时,一般都找代码段最后面的空白代码地方也就是所谓的零区域,然后把我们准备好的花指令填进去,然后一个跳转跳到入口点。但是我们木马的体积比较大,从入口点到最后面零区域的间隔比较远,所以从低部跳到头部由于间隔较远就非常容易出错。



2.新研究的免杀方法完美的解决了该问题:我把它取名为:中间过渡跳转法



实例演示:中间过渡跳转法来修改灰鸽子V1.22版或VIP2.0版。



中间过渡中转法实现原理:首先我们在代码段的中间位置,备份部分代码,然后把我们要添加的花指令写进去,写完后,再跳到零区域,在这个零区域填入刚才我们备份好的代码.填完后又要跳回填入花指令的生面.总之一句话:把花指令填在代码中间,被花指令覆盖的代码移到零区域去执行,然后又要跳回来.最后把入口点改成花指令的首地址.这样就算完事了.




3.该新的免杀技术优点:以前的花指令只能填到零区域,也就是说入口点一般都比较后面,所以有时会被卡巴查杀,但有了这种新方法后,程序入口点就变的非常灵活,可以定位在代码段的任何位置,每定位一个新的入口点就是一种新的免杀方案.而且这种方法对付卡巴也很有效.把入口点放到代码段的中间,是杀毒软件万万想不到的,所以免杀效果是最好的.同时他解决了由于跳转太远使程序无法运行的缺点,所以这种方法是相当完美的免杀方法.希望大家灵活运用

hilarylove 发表于 2008-11-25 18:47

其实用jmp跳转是段区域跳转的,可以考虑用LJMP ******这个指令的

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.