乌秋博客
梦想在左,生活在右。   

花指令没有用了,鸽子还在继续被杀
很多杀软都不把特征码放在data区段了,现在花加不加都无所谓了,但是卡巴实在很难定位了,用myccl和ccl已经定位不出来了,不过还是知道特征码在code区段,昨晚就用这两个定位软件定了半天,定出来是出来了,可是改了照样被杀,又试了用vmprotect虚拟机技术加密,还是被杀,看来实在很难搞啊,只有借助dbg看看了。已成功过5大杀软的鸽子现在只能过卡巴了,而且还失去了一部分功能,不能进程管理和删除安装程序,所以不得不重新再做一个了。附上昨天一个网友发给我的过nod32的方法,我觉得不太有用,不过还是贴出来吧:
很多兄弟给木马做免杀 做文件特征码修改 内存特征码修改 加冷门壳 加伪装壳 加花指令 反复跳转 金山江名卡巴瑞星都过 不管怎么样 就是过不NOD 是不是很郁闷``其实NOD不牛的 我告诉大家他的查毒原理 就轻易可以做出针对NOD的免杀马马。而且不用做特征码定位那么麻烦的事情 过NOD只需1分钟。
NOD特征码的定义和其它杀毒软件不一样 其它杀毒软件的特征码都在代码段。而NOD是把特征码定义在PE头文件里面。而且在头文件里面 一般都用字符串作为特征码 哈哈 就这么简单
怎么过NOD大家都知道了吧?很简单 我们只要把木马头文件的字符串的大小字互换一下基本上就可以过了。还有用北斗压缩一下 这样马马的头文件改的面目全非,HOHO NOD就不知道是马了
posted at 06/06/27 12:36 | 开发手记 - 静态博客 | 浏览(56) | 引用(1) | 评论



      << prev      next >>