chenjian05
技术员
帖子
82
精华
0
无忧币 280
积分 203
阅读权限 30
|
发表于:2008-4-27 16:50
标题:网络培训:菜鸟宝典之木马免杀办法
<上一帖 |
下一帖>
此文章适合初学者,更好的了解木马,学习安全基础知识。
病毒,木马免杀,顾名思义 ,就是不能被杀毒软件侦测到,卡擦掉,这里面的技术,有简单的,有高深的,今天我就自己所了解到的一些小伎俩自己在这里留个记号,方便自己以后进步对比,也与大家共享我所学到的一些东西。
现在我就给大家讲讲做免杀需要的一些的东西,由于不同的制作方法有不同的步骤,所以我写的东西,都是自己想到哪里写到哪儿。
材料:巧妇难为无米之炊,我们首先需要一个加工对象,用不同的方法,最终得到免杀的结果。材料要个干净,没加工过的原材料,没加壳的木马,也就是裸马,不是罗马哦,呵呵,这个要是不裸,后面的工作我们是进行不下去的。自己有能力,写一个自己用最好。
工具步骤带在一起 了,本人太菜了,还卖乖,呵呵。别笑话啊。
做免杀,是要在杀毒软件前面刀枪不入,我们这里就要晓得杀毒软件的杀毒原理,
木马的工作原理,这个都还在不断的学习之中,最终要达到自己写专杀工具,木马的境界,慢慢来。
江民,金山,诺顿,卡巴,瑞星,听说瑞新的内存查杀功能最好,都是听说,自己动手试验最好。文件查杀都差不多,查杀都是扫描特征码,内存,文件扫描, 要免杀,就是要修改特征码,要修改 ,就要找到特征码,找到特征码的方法都是用工具自动改码,在用杀毒软件筛选?更好的方法是什么?这都要对原理熟悉,唉,都怪自己知识浅薄。
现在网上做免杀,大部分都是工具,自己不懂反汇编都,随便挑几个工具都可以做出免杀,这大概也是为什么现在病毒木马这么猖狂的原因吧 ,
网上流传方法:
1.入口点加1免杀法.用PEditor打开无壳木马程序,把原入口点加1即可,有时还是会被杀。
2.变化入口地址免杀法 (OllyDbg,PEditor)
用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后又跳回到入口点的,下面第三句继续执行.最后用PEditor把入口点改成零区域的地址.免杀效果还可以。
3.加花指令法免杀 (OllyDbg,PEditor)
免杀通用性好,插花指令,可以达到大部分的免杀 ,用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令的着地址
4.加壳或加伪装壳免杀法.用冷门客 ,主要是不常见,这个不怎么用,意义不大。自己愿意多穿几件衣服,呵呵,包好。还可加壳了再加伪装壳,重复都行,只要你喜欢,但最多能穿多少衣服?不晓得有没有限制?
5:打乱壳的头文件免杀法.(秘密行动 ,UPX加壳工具)
效果不错,对卡巴很好,哎呀,都是听说的。自己试验了几个也看不出来啊。所以啊,好好学理论,才可融会贯通哦。
6.修改文件特征码免杀法.(特征码定位器,OllyDbg)
我想最好的还是修改特征码吧,毕竟杀毒软件主要还是靠病毒库里面的特征码来砍病毒。修改 包括文件特征码修改,内存特征码修改。具体细节方法,网上相应教材太多了,去search吧
|
网络工程师到底该不该去考CCIE认证? |
|
| 诚征版主 | 版主堂 | 意见建议 | 大史记 | 论坛地图