Board logo

标题: [讨论]给PS定位特征码的时候遇见的怪事 [打印本页]
作者: s37su37    时间: 2008-7-23 08:33     标题: [讨论]给PS定位特征码的时候遇见的怪事

[讨论]给PS定位特征码的时候遇见的怪事
议题作者:sniper
信息来源:邪恶八进制信息安全团队(www.eviloctal.com

刚才给pcshare定位喀吧6.0下的特征码,update目录下的那三文件,exe倒好过,找到位置后一个jmp就搞定。DLL和EXE定位出来的特征码却然我感觉有点匪夷所思了:

dll
    -------------定位结果------------
   序号  起始偏移   大小   结束偏移
  0001  00000000  00000010  00000010  
  0002  00000030  00000010  00000040  
  0003  000000F0  00000020  00000110  

  0001  00000120  00000002  00000122  

  0001  000001FC  00000002  000001FE  
  0002  00000204  00000002  00000206  

~~~~~~~~~~~~~~~~~~~
sys

    -------------定位结果------------
   序号  起始偏移   大小   结束偏移
   0001  00000000  00000002  00000002  
  0002  0000003C  00000002  0000003E  

  0001  000000D0  00000002  000000D2  
  0002  000000D6  00000002  000000D8  
  0003  000000E4  00000002  000000E6  
  0004  000000F8  00000002  000000FA  


这2个文件的特征码定位出来竟然全部这么靠前,这貌似就没法改了呀。。。你随便动哪一下那出的问题可都不一般了,直接无效的PE文件啊。以前很少接触免杀这方面,最近才接触,烦请各位达人指教:如何修改这类的特征码来pass喀吧。
帖子92 精华4 积分3212 阅读权限100 在线时间106 小时 注册时间2004-11-26 最后登录2008-5-5 查看详细资料TOP 赚更多的钱


赐我一败
晶莹剔透§烈日灼然
作者: 阿世    时间: 2008-7-23 08:33

位于什么区段的, 把相应的汇编代码发出来看下.....
帖子3 精华0 积分13 阅读权限40 在线时间22 小时 注册时间2007-7-2 最后登录2008-1-2 查看详细资料TOP 让女孩一夜变的更有女人味

天堂夜色
晶莹剔透§烈日灼然
作者: 老虎仔    时间: 2008-7-23 08:33

00000030  00000010  00000040  
  0003  000000F0  00000020  00000110

0001  00000120  00000002  00000122  

这些是不是在PE文件头的位置呀?如果是,听说在现在有一个什么PE文件头移位的方法,(只是听说,我也没有做过)
帖子14 精华0 积分25 阅读权限40 性别男 在线时间2 小时 注册时间2007-1-26 最后登录2008-6-26 查看详细资料TOP 良辰择日,预测咨询,公司改名,权威易经

sniper
荣誉会员
作者: 警警    时间: 2008-7-23 08:33

WINHEX打开那个DLL的图在附件。特征码就全部是在文件头那里。
附件
1.GIF (25 KB)
2008-1-3 11:09
1

帖子92 精华4 积分3212 阅读权限100 在线时间106 小时 注册时间2004-11-26 最后登录2008-5-5 查看详细资料TOP

xxfish
荣誉会员
作者: 雪欧飞狐    时间: 2008-7-23 08:33

移动下PE头测试是否可以免杀,如果不免杀,那么说明你定位的错误,因为现在的杀毒软件并非之前的杀毒软件,基本上都做了一些反定位措施,你可以跳过PE头从代码段开始定位。。
帖子31 精华0 积分3128 阅读权限100 在线时间57 小时 注册时间2008-1-3 最后登录2008-7-20 查看详细资料TOP 良辰择日,预测咨询,公司改名,权威易经

sniper
荣誉会员
作者: ygw92711    时间: 2008-7-23 08:33

移了PE,免杀了,但是文件被我改坏了。。。。不知道什么原因
帖子92 精华4 积分3212 阅读权限100 在线时间106 小时 注册时间2004-11-26 最后登录2008-5-5 查看详细资料TOP 少女暴富的隐秘(图)

hitlerboy
晶莹剔透§烈日灼然
作者: 小妖    时间: 2008-7-23 08:33

自己重写pe头
帖子79 精华0 积分274 阅读权限40 性别男 在线时间182 小时 注册时间2006-5-7 最后登录2008-4-11 查看详细资料TOP 让女孩一夜变的更有女人味

xxfish
荣誉会员
作者: hxpaaa    时间: 2008-7-23 08:33

......你移动的是否正确...
帖子31 精华0 积分3128 阅读权限100 在线时间57 小时 注册时间2008-1-3 最后登录2008-7-20 查看详细资料TOP

sniper
荣誉会员
作者: 乡下佬    时间: 2008-7-23 08:33

不知道是否正确啊。。。。。有没有相关动画一类的,第一次移PE,非常有可能是操作错误
帖子92 精华4 积分3212 阅读权限100 在线时间106 小时 注册时间2004-11-26 最后登录2008-5-5 查看详细资料TOP

xxfish
荣誉会员
作者: 波柱    时间: 2008-7-23 08:33

我给黑客防线做免杀课程有修改PE头类课程,不过是vip课程....... 你加我qq4159175我给你看下是否正确... 其实就是移动下整个PE头然后修改下IMAGE_DOS_HEADER结构e_lfanew域..
帖子31 精华0 积分3128 阅读权限100 在线时间57 小时 注册时间2008-1-3 最后登录2008-7-20 查看详细资料TOP

上帝在堕落
晶莹剔透§烈日灼然
作者: 青蛙    时间: 2008-7-23 08:33

我在瑞星下作鸽子免杀的时候也有特征在PE头上,绕不过去。。赠人玫瑰,手留余香。

帖子41 精华0 积分131 阅读权限40 性别男 在线时间65 小时 注册时间2007-5-21 最后登录2008-6-21 查看详细资料TOP

7个b
晶莹剔透§烈日灼然
作者: horst    时间: 2008-7-23 08:33

to:上帝在堕落
什么版本的鸽子?
我试过免杀07的鸽子DLL文件,被瑞星定义的第三处特征码就在PE头附加的指令...
无论用什么方法,那条汇编指令一但改变,文件就无法正常被加载...
帖子35 精华0 积分128 阅读权限40 在线时间18 小时 注册时间2007-9-24 最后登录2008-7-6 查看详细资料TOP

silenceshell
晶莹剔透§烈日灼然
作者: shenbi    时间: 2008-7-23 08:33

现在给鸽子做免杀是个天煞的事情..show more..

帖子35 精华0 积分111 阅读权限40 在线时间65 小时 注册时间2007-6-22 最后登录2008-7-15 查看详细资料TOP

sniper
荣誉会员
作者: 东莞藤原文太    时间: 2008-7-23 08:33

最近感冒了,很严重。。而且也比较忙。等空了再请教fish同志吧。
PS:我加FISH的QQ了,我可能在你陌生人里面
帖子92 精华4 积分3212 阅读权限100 在线时间106 小时 注册时间2004-11-26 最后登录2008-5-5 查看详细资料TOP

xxfish
荣誉会员
作者: caio    时间: 2008-7-23 08:33

....你给我说句话,注明邪八就行了。不然我很少说话的.... 呵呵 祝你早日康复...
帖子31 精华0 积分3128 阅读权限100 在线时间57 小时 注册时间2008-1-3 最后登录2008-7-20 查看详细资料TOP

yzx65
晶莹剔透§烈日灼然
作者: 原野    时间: 2008-7-23 08:33

可以反向定位。。开始的位置不一定要在E0。可以从第一个节开始。
PS:我觉得改头一点用都没有。。反而以后的免杀就麻烦了。。君子与其练达,不若朴鲁;与其曲谨,不若疏狂。

帖子3 精华0 积分-133 阅读权限1 性别男 在线时间55 小时 注册时间2006-5-13 最后登录2008-7-20 查看详细资料TOP

yeufish
晶莹剔透§烈日灼然



欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/) Powered by Discuz! 7.2