【3.A.S.T】网络安全爱好者's Archiver

黑客学习

1335csy 发表于 2009-3-6 16:41

上兴过瑞星的木马行为防御

前几天呢,下了个上兴远程控制个人版,

做了下免杀,金山过了,

瑞星的表面内存也过了。

感觉这两个杀软都很垃圾。呵呵

没想到运行的时候,瑞星提示了木马行为防御。

这下有点糊涂了。以前做免杀都没有遇过啊。

问了一位朋友,他说这个木马行为防御也有特征码。

和定位主动防御特征码差不多(有点差别)

于是定位了下,果然。

瑞星杀的是输入表。这个简单啊,

重建了下输入表,运行,还是提示木马行为防御

定位了下,还是杀那个函数。

移位法试了下,可他妈还是提示。

加花,加壳都用上了,还是他奶奶的提示。

这下有点没辄了,

郁闷了整整两天。找不到任何办法,

什么是木马行为防御,

也就是查到一些木马的小动作,

比如插入IE进程,加载自己为系统服务,把自己设置为系统启动项,

隐藏自身进程等等。

我在生成服务端的时候一一去掉,都还是提示。

想到头快爆了(版主也不是很牛C的)

网上搜索也没有相关的免杀方法。

无语了。说了这么多的废话,切入正题吧。嘻嘻

后来,看到一位站长朋友上线了,龙域的管理员。

简单的介绍了下我的问题,

他推荐我去找龙域的一位会员(好像是会员吧,以前没有联系过)

这位会员帮我的木马做了下免杀,说是加了个版本

本地测试,瑞星果然没有提示。

也能正常上线,

经过前后木马比对,

用Restorator打开

免杀后的木马多了一个版本信息。

今天写这个帖子主要是告诉大家,加版本也是免杀木马的一个方法。

不比以往的改特征码,加花,加壳方法,

有的时候,简单的修改久可以达到免杀木马的效果

至于版本信息么,大家可以找到一个有版本信息的文件  用Restorator提取出来

再导入木马中。

截张图给大家。

hilarylove 发表于 2009-3-6 22:23

牛X啊

zhishixuexi 发表于 2009-3-13 17:36

真的很厉害,学习拉

超超 发表于 2009-3-25 18:28

呵呵  我真没说错  免杀狂人    1335 是也  哈哈

1335csy 发表于 2009-3-25 22:12

回复 4楼 超超 的帖子

:@ :@ :@    乱盖帽子  我X

blood.小枫 发表于 2009-5-12 06:29

瑞星不会杀自己人。

EndTo偌枫 发表于 2009-7-6 01:28

思路很好,,可以试试,

1nimab 发表于 2009-7-20 18:51

我也是遇到了 这个 问题看看你是怎么过的

kexin7878 发表于 2009-7-25 02:23

要的就是这个 狂顶

qvbzyx 发表于 2009-11-11 19:26

我也有这个问题  还在郁闷呢

448187144 发表于 2009-12-18 07:32

牛叉叉啊
找了好久终于。。。

448187144 发表于 2009-12-18 07:53

貌似免杀不了,刚才试过。

heikepengpeng 发表于 2009-12-31 06:08

看看~~~~~~~~~~~`

heihawow 发表于 2010-1-3 19:01

现在已经不行啦

xiem 发表于 2010-1-16 16:21

过时了!楼主有没有更好的方法啊

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.