【 分 享 】木马免杀技术大盘点
下面分析一下目前木马躲杀几种手段,主要针对文件查杀和内存查杀!
1.加壳免杀
大家应该都会,建议你选择一些生僻壳、强壳、新壳,或者加多重壳。
2.修改壳程序免杀
主要有两种:一是通过加花指令的方法把壳伪装成其它壳或者无壳程序。二是通过reloc类软件修改壳的区段入口点。
3.修改文件特征代码免杀
此方法的针对性是非常强的,就是说一般情况下你是修改的什么杀毒软件的特征代码,那么就只可以在这种杀毒软件下免杀。主要方法是:直接修改法 和 跳转修改法。其中跳转修改法可以用一些软件来做到,比如:vmprotect ,我给用工具实现跳转修改法,取了一个新名字叫:加密修改法。
4.加花指令免杀
此方法通用性强,而且效果好。主要有两种:加区加花和去头加花。
5.修改内存特征代码
目前内存杀毒的杀毒软件强的并不多。修改内存特征代码对于初学免杀的朋友来说,难点应该是在内存特征代码定位上。至于内存特征代码的修改其实和文件特征代码的修改是一样的为:跳转修改法和直接修改法。但是为了避免出错,建议大家尽量只使用直接修改法。
6. 阻止杀毒软件扫描内存
只是一个思路,可能要编程来实现。听说有的壳程序可以做到,但是本人还没有测试和验证。
杀毒软件的设置
做免杀需要把做出来的免杀木马在多种杀毒软件下测试,看看是否已经免杀。另外我们在定位病毒特征代码的时候也需要杀毒软件,所以计算机上安装多种杀毒软件是必然的。
但是一般安装两种或者两种以上的杀毒软件在计算机上它们就会冲突,轻则计算机运行变慢,重则死机。
下面我就教大家来设置杀毒软件,实现一台计算机安装多个杀毒软件。
第一、关闭自动更新病毒库
第二、关闭定时扫描
第三、关闭实时监控
第四、删除杀毒软件写在注册表的开机自动运行项目
第五、把计算机服务中杀毒软件添加的服务自动的改为手动。
posted @
2007-11-21 03:41 古藤 阅读(235) |
评论 (0) |
编辑 收藏
第一次喜欢一个人,从来没有的感觉
那感觉来的浓烈,走的也快,瞬间让我不知所措
好像丢了生命中最重要的东西,对工作那以往的信心烟消云散
开始堕落
不知道方向,我迷茫,也困惑
爱给我的到底是快乐,还是忧伤
只有默默的写诗,眼泪不知不觉又滴落到稿纸上,模糊了我的眼睛,也模糊了字迹
秋天来了,我一个人伫立在萧瑟的风中,看着北京的树叶片片飘落
回想起坐在单车后面的你,现在恰是有这凉风的感觉
我累了
曾经不顾一切的爱,不顾一切的希望和幻想。。。。。
不知道还有多少人像我一样,有这残缺的爱
她走了,却给我留下了诗
我将满身的忧伤都倾注我的诗里
不知道还会写多久,
我想眼泪总有流干的一天
那时,没有眼泪的人会是怎样,我不敢想
也没力气去想
我只知道叶子落了,阁子走了。。。。。。
posted @
2007-11-20 17:57 古藤 阅读(130) |
评论 (0) |
编辑 收藏
花指令是一堆汇编指令组成,对于程序来说,是一堆废话,加不加花指令都
不影响程序的正常运行.编写的花指令要终始保持堆栈的平衡.
二.写花指令的原则:
写花指令的基本原则就是要保持堆栈的平衡.
写花指令细细品味下面一段比喻:
我们把一段花指令比喻成一道数学运算题,把汇编指令(push pop等)比喻成加减
乘除,把寄存器或数据(eax,ebx,1等)比喻成
数字(1,2,3等),那么要保持花指令堆栈的平衡,等于保持这道数学题的结果是0 .
三.解释一些指令含意
push ebp ----把基址指针寄存器压入堆栈
pop ebp ----把基址指针寄存器弹出堆栈
push eax ----把数据寄存器压入堆栈
pop eax ----把数据寄存器弹出堆栈
nop -----不执行
add esp,1-----指针寄存器加1
sub esp,1-----指针寄存器减1
inc ecx -----计数器加1
dec ecx -----计数器减1
sub esp,1 ----指针寄存器加1
sub esp,-1----指针寄存器加-1
jmp 入口地址----跳到程序入口地址
push 入口地址---把入口地址压入堆栈
retn ------ 反回到入口地址,效果与jmp 入口地址一样.
mov eax,入口地址 ------把入口地址转送到数据寄存器中.
jmp eax ----- 跳到程序入口地址
jb 入口地址
jnb 入口地址 ------效果和jmp 入口地址一样,直接跳到程序入口地址.
四.免杀花指令编写手册:
注:以后编写花指令,都可以参考本手册,灵活组合,快速写出自己的花指令.
*******************************************************************
push ebp
pop ebp
push eax
pop eax
push esp
pop esp
push 0
push 0
push 10 -------其中数字可以任意,注意与下面对应
push -10
nop -----------可任意在中间添加
move edi,edi ----效果与nop一样
add esp,1 -------其中数字可以任意,注意以下面对应
add esp,-1
add esp,1 --------其中数字可以任意,注意以下面对应
sub esp,1
inc ecx
dec ecx
sub eax, -2 ----------其中数字可任意,与inc的个数对应
inc eax
inc eax
add eax -2 ----------其中数字可任意,与inc的个数对应
inc eax
inc eax
jmp 下一个jmp地址
jmp 下一个地址
push ebp
mov ebp,esp -------可做为花指令的开头句
jmp 入口地址 ------跳到程序入口地址
与它效果一样的还有(以下三个):
push 入口地址
retn
jb 入口地址
jnb 入口地址
mov eax,入口地址
jmp eax
********************************************************************
五.分析一段简单的花指令:
push eax
push eax
nop
pop eax
pop eax
sub eax,1
inc eax
push 入口地址
posted @
2007-11-20 17:20 古藤 阅读(186) |
评论 (0) |
编辑 收藏
给大家介绍一款常用安全工具,就是《冰刃》,对手工查杀木马很有帮助,通过这个《绿色》小软件你可以很详细的了解本地计算机上所有正在运行的进程 及有关的详细信息
所列主要功能有进程查看,端口查看,内核模块 ,服务管理,启动项管理,注册表管理,还有一个扫描功能
它的最闪光点就是强力查杀或结束恶意进程,从线程信息,模块信息一直到内存信息追踪查杀,这一点可是别的同类软件所不具备的
下载地址
posted @
2007-10-14 18:25 古藤 阅读(136) |
评论 (0) |
编辑 收藏