本文详细介绍木马免杀技术中的关键步骤,包括脱壳、定位及修改特征码的方法,并提供具体的修改技巧与实例,帮助读者理解如何有效避免木马被杀毒软件检测。
.脱壳解密
脱壳在木马免杀中由为重要!。。所以希望大家好好学习脱壳
脱壳的好坏直接影响到木马免杀效果(如果不完全脱壳,在<定位内存特征码>可能会使定位中没发现特征码但是运行中又发现木马。)
2.定位特征码
一般从大范围定位后逐渐缩小范围(字节型)
(个数型)一般从生成100个数的大致定位特征码后转入字节型定位。
单一文件特征码定位:CLL MYCLL multiCCL
复合文件特征码定位:MYCLL multiCCL
内存特征码定位: OD(一半一半定位) MYCLL multiCCL [一般都要确定你的文件是否完美完全脱壳后在进行文件特征码定位]
3.特征码修改
简单的等效代码转换如下:(不过有时改后也损坏文件所以看情况)
push 变 pop
je 变 jnz
add 变 sub
add ecx,2 可以改为 sub ecx,-2
加ecx内存器+2 减ecx内存器-2 - -2得=2
上面的等效代码用不了还是乖乖用,JMP跳转法把特征码转移
*******************************************************
网页木马类: JS html htm asp 等
1.拆分变量。
用&连接符号,拆分变量
2.加入垃圾代码。
3.等值代码修改
<html></html>
<htm></htm>
把html全部改htm 效果一样
4.代码添零
5.编码加密
1 定位在PE文件头。
方法1 手工修改PE头。或用lord PE重建。
方法2 定位从400开始定位。一般用于瑞星
2 定位出现死循环。
方法1 PE头加1后再定位
方法2 从400开始定位,更改分块个数
3 定位出特征码,改的时候出现重定位,无法修改。
方法 可以使用lord PE 重建PE 功能实现清除重定位。
4 定位在输入表位置
方法1 修改输入表
方法2 最直接的就是直接重建输入表 工具import REC
5 定位在末尾的配置信息
方法1 这一般是金山的数据流。。选择上一大段 更改大小写即可,
6 OD使用保存时 没有“所有修改”
这个问题我也不清楚。个人感觉是没有jmp成功。或者分开来保存。或用鼠标拉上修改的部分来保存
7 定位的特征在OD中用什么方法都修改不了
并不是非要修改定位出来的特征码,修改他上面或下面的2。3行 乃至4。5行 有时候都是可以免杀的。
扫一扫
3217
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
