Board logo

标题: pcshare过瑞星的问题 [打印本页]

作者: 业余人    时间: 2010-3-12 16:56     标题: pcshare过瑞星的问题

本帖最后由 业余人 于 2010-3-12 21:50 编辑

pcshare已经过瑞形表面了  但生成的dll被杀
另外 update中的dll文件 只要在文件末尾加上随便一个什么数据就会被瑞星杀 这个是为什么啊
对dll进行了隐藏了部分输入表 加北斗壳 改壳 加密了输出表 附加数据加密 的处理

各位大大能帮俺指点下不  ......   程序在附件中
大家有什么好的方法可以发给我的邮箱lzfxxx2000@yahoo.com.cn.

只过瑞星表面 其他的没试过
貌似还能过金山吧


附件: pc.rar (2010-3-12 16:56, 969.1 KB) / 下载次数 0
http://3ast.com/attachment.php?aid=1874&k=920dcc4951bac493852d0dfa1cff4cf5&t=1732495789&sid=NP48P1
作者: 业余人    时间: 2010-3-13 09:51

没人吗  我自己顶下
作者: 业余人    时间: 2010-3-13 15:51

本帖最后由 业余人 于 2010-3-13 15:53 编辑

问题已经解决了
我是在暗组看到的一片文章后解决的 参照了文章的思路早到了特征码
特征码的修改则是参照了 pcshare+DLL除去附加数据这个教程 不过有点小出入
这里只要改.nsp区段的物理大小 不然会出错 之后生成的dll文件就过瑞星表面了

暗组的文章:
瑞星杀PCdll一加附加数据就杀免杀过程
今天瑞星又杀了我的免杀,很高兴的说,我们瑞星又给我练习的机会,看看瑞星杀什么?dll的一个很简单的特征码,改好后.我生成丢到虚拟机测试,!!!发现瑞星杀了生成的dll,报警了,我立即关掉本地连接(怕上报嘛),然后找出那个dll定位,定位结果发现,他定在PE头,不应该啊~PE头不会那么容易杀吧?我还以为我定位错了,然后就撇开PE头400起始定位,但是发现他在400循环,这就证明特征码根本不在我的定位区域里面,那么我就开始怀疑了,到底为什么呢?我决定手工定位~~~当然 这个手工是有针对性的

我的思路是这样的

首先~既然生成才杀,那么就是杀多了的数据,也就是附加数据啦~我把附加数据填充成00了,发现他竟然还杀,那样就奇怪了,难道他杀我的配置信息,但是我立马否定了,配置信息在EXE里面的时候如果他杀早就杀啦~犯得着生成的dll再杀么?但是,他不杀配置信息,他还能杀什么?

接着我开始怀疑附加数据了,我把所有附加数据选中 然后按delete,删除!用peid察看是没有附加数据的了.我丢到虚拟机看看,诶不杀了啊~原来他是杀附加数据,但是为什么我一开始把附加数据都填充了,他还杀呢?我第一时间确定了个问题,肯定是配合其他特征码,瑞星一检测到有附加数据再配合那个特征码,他就杀.想到这里,我就先吧所有的代码段的代码全部填充00,再丢到虚拟机查杀下看看,诶怎么还杀啊?然后我把什么输入表输出表重定位表IAT表,反正除了区段头PE头还有附加数据以外的数据全部填充00,丢进去察看下,哇靠 怎么还是杀,囧了一会,我回过神来.慢慢分析......

加了附加数据就杀,不加就没事,而所有的代码段什么输入表输出表都填充00了,他还杀,那么特征码肯定在PE头或者区段头,想到这里,我锁定PE头先,先把PE头移动了下,丢进去,遗憾,还杀,不气馁不怕输比杀软更耐性,就是做免杀的必要因素,我开始脱离PE头是特征码的想法,锁定区段头,把区段头移位,继续杀,这样子恐怕不简单了,是杀区段头组合?

我除了第一区段代码段(已经填00的了)其他区段都删除掉,再PE注册里面也改成只有1个区段,区段表里面的东东除了第一区段其他我都删了,再写入一个附加数据试试,还是杀,这样特征码已经锁定了,不是在pe头就是在第一区段的一些大小和地址上面,要不是就是在PE头的那些数据上面,

锁定目标后,我用lordpe逐个逐个数据修改查杀,最后发现原来他杀文件时间这个数据,改了他就不杀了!呼整个过程吓我一大跳.其实这个也可以定位出来,起始地址00开始就行了!
作者: 业余人    时间: 2010-3-14 17:36

本帖最后由 业余人 于 2010-3-14 17:43 编辑


另外加个qq2009的版本和图标就可以过瑞星2010木马的行为防御了




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/) Powered by Discuz! 7.2