本文介绍了一种解决madchook被误报为木马的方法。通过修改其特有字符名称并加密处理,使madchook能绕过杀毒软件的检测。涉及对驱动文件的逆向分析与修改。
|
madchook的技术比较成熟和稳定,但是却被木马等程序利用,以至于被许多杀毒软件直接报木马,所以修改madchook内特有字符名称,可以逃脱杀毒软件报毒,与查杀,主要的特殊的字符窜是他的内存映射名称和他的文件名称,但是不能直接修改驱动文件名,否则dll文件无法加载驱动,所以本人经过多次的反复动态调试与逆向分析,发现dll中的特有字符串都被加密了,包括驱动的名称,分析发现加密的方式很简单,就是 用0x55异或了一下,在dll中还备份了一个驱动的文件,如果你把madcHook的dll整个文件用0x55异或一遍,你就会发现很多眼熟的字符窜,比如:madjmap映射等等,还有驱动的名称,还可以发现驱动的文件头的信息,你只要修改了相应的字符窜名称,在异或回去,就可以使用!,当然驱动也要反汇编,改掉默认的映射名称,再重新编译! |
扫一扫
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
