木马特征定位如何免杀
跳转!要么放弃鸽子!用别的木马!
用Myccl和杀毒软件定位特征码,并根据实际情况修改免杀。
如:ade改为add,把无用的代码用nop填充等。
是通用的。所以就对目前流行的特征码修改方法作个总节。
方法一:直接修改特征码的十六进制法
1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.
2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下能
否正常使用.
方法二:修改字符串大小写法
1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.
2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.
方法三:等价替换法
1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.
2.适用范围:特征码中必需有可以替换的汇编指令.比如JN,JNE 换成JMP等.
如果和我一样对汇编不懂的可以去查查8080汇编手册.
方法四:指令顺序调换法
1.修改方法:把具有特征码的代码顺序互换一下.
2.适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行
方法五:通用跳转法
1.修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.
2.适用范围:没有什么条件,是通用的改法,强烈建议大家要掌握这种改法.
你定位的特征码,对么?
真不知道。。。
如果对---大小写转换应该很好过瑞星的。。
我从来不用加一减一,面纱效果不好。。。
建议你直接改特征码。。。
c32经常出错。。。
建议你用od
简单的话去下个面杀工具和加壳
导入OllyDBG 用OC转换文件偏移到虚拟偏移
用OllyDBG找到虚拟偏移 用跳转或相近的语句该掉其中的汇编语句
这样一般可以过掉瑞星文件表明
主动防御还有其他办法
有尝的我就教你, 买也行 。
这个。。看你的叙述就知道你免杀几乎不懂。
看我说准了吧~~
如何知道自己机器里有没被种免杀木马?
修改特征码技术含量最高,最难,很多杀软束手无策,但是卡巴斯基运用了行为判断技术,无论什么代码,只要行为构成木马的,(如未经允许向外发送键盘信息、监控屏幕等等行为)统统认作病毒,马上枪毙!所以现在还没有一款杀软能全部查杀运用上述免杀技术的木马,如果系统非常重要,只有同时使用不同杀毒技术的杀...
怎么做免杀越详细越好
第三步:了解免杀技术分类:如内部免杀和外部免杀,特征码免杀以及文件免杀等 第四步:搭建调试环境,你需要一个虚拟机来测试你的木马免杀效果。如果你觉得不保险,可以在安 装冰点还原。(我的网站:google:青扬班 第一个即可)第五步:你需要知道PE结构(这是指文件的一般格式);输入表和输出表...
做网马.木马必须免杀吗?
买个空间也不贵。还有谁说 过了卡巴就能过其他?你懂不懂啊?每个杀软都有自己的特征码,卡巴主要是文件查杀,过了文件查杀就过了内存,而瑞星主要是内存查杀,但是文件特征码与内存特征码不一样,而NOD32 只要进行木马的多层加壳就可以过了。主动防御的免杀就比较麻烦了。详细的自己百度去吧。参考...
什么是免杀工具?和加壳工具有什么区别?
免杀工具c32,myccl用于修改特征码达到免杀目的 加壳工具就是把一文件加上一个马甲一样不被杀 参考资料红盟安全网 www.hmaqw.net
100分,求一个做了免杀木马.要木马就行,不要免杀方法
你可以选用木马帝国木马免杀器,很好用 木马帝国专版木马超级免杀器 再次免费对外发布 这是一款国外强大的作免杀的好工具 本次作了简单的汉化 并对部分特征码进行了修改 用他保护后的木马可以过90%国内杀毒 保护后的程序用 北斗之类的压缩工具 减小下体积 就OK 参考资料:http:\/\/www.mmbest.com\/Softwar...
过金山毒霸免杀的一个特征码3个字节
JMP到00区域 也就是跳转法...
如何定位360卫士QVM主动防御特征码+定位360杀毒五引擎特征码?
当修改完某个API不杀以后,记录下该API,然后复制一份备份文件,直接找到该API并修改,如果修改后还杀,说明还存在其它被查杀的API,则继续定位,按此方法,直到找出 所有被查杀的API,如果不杀了,则你记录下的API就是所有特征了 5.4中得到的被查杀的API就是最终的特征码了,只需要对它进行免杀处理...
懂汇编知识朋友进(免杀问题)
趁早放弃,因为你学习的方向都是错的 从法律道德上来说放马是错的 从学习的角度来说也是错的,因为免杀不需要懂汇编,学的应该是如何使用'壳'同样一层加密壳你加就会被杀,我加就不会
关于免杀 DELL文件
如何释放?请百度资源文件.他把自己的资源自定义文件释放,也就是Dll,释放到一个指定位置后,靠这个Loader,来顺利进行Injection,呵呵.注入.一般这样的程序已经达成了主要任务,但是比如Irat马,他的Dll里面有CreateService功能,自己创建服务,启动来加载自己.Dll的,其实我也没实验过.而这样的马,最主要的就是...
(满意追加)免杀方法或者免杀教程,学习用,非常感谢
其中前一个比较方法古老,又分为文件查杀和内存查杀,杀毒软件公司拿到病毒的样本以后,定义一段病毒特征码到病毒库中,然后与扫描的文件比对,如果一致则认为是病毒,内存查杀则是载入内存后再比对,第二个比较新,它利用的原理是某些特定的病毒会有某些特定的行为,来监测病毒。 免杀常用的工具: Ollydbg 调试器简称OD,...
粱行芬尼: 免杀方法 一.文件免杀 1.加花 2.修改文件特征码 3.加壳 4.修改加壳后的文件 二.内存免杀 修改特征码 三.行为免杀 细的去这个地方去看图 加花以后一些杀毒软件就认不出了,但有些比较强悍的杀毒,比如司机大叔(卡巴斯基)可能还是能查出来...
张家港市13011992070: 如何让木马达到免杀效果 - ?
粱行芬尼: 现在的杀毒软件对任何病毒的查杀,都是建立在拥有该病毒的特征码的基础上的.黑客为了让木马程序不被杀毒软件查杀,会通过各种方法对它进行修改或伪装,也就是进行免杀处理.目前常见的免杀方法有加壳、加花(指令)、修改特征码、...
张家港市13011992070: 如何做免杀?
粱行芬尼: 免杀首先你先查下要做免杀的木马有没有壳,有的话最好先脱掉..然后就是是定位特征码了!你首次定位后!你一直二次定位..一直定位到最后的数小于2就可以了!!这里只是简单说下,,要学还是去下些教程来学吧!
张家港市13011992070: 特征码免杀通常有哪些方法? - ?
粱行芬尼: 五.打乱壳的头文件或壳中加花免杀法: 1.用到工具:秘密行动 ,UPX加壳工具. 2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好. 3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动...
张家港市13011992070: 木马怎么加壳免杀? - ?
粱行芬尼: 定位基础:1.填充用00或者其他两位数但是我不推荐用00,现在有的杀毒软件已经可以识别了. 2.开始位置千万不要默认,现在的国产都识别,最好用CODE段的00000400. 3.分段长度用CODE段的长度00003800 4.结束位置会自动生成,就不...
张家港市13011992070: 木马一般如何免杀 - ?
粱行芬尼: 要想过全套(域名拦截-启动项拦截-云鉴定-网盾)现在几乎都是源码免杀 myccl定位特征码 源码进行修改或者c32修改过表面 自己写代码过域名拦截等 加壳加花也只能过表面 除非你先处理好了主动 其实免杀不拘于任何语言 如果你汇编好 用汇编一样可以过全套 就看你自己选择什么方法
张家港市13011992070: 木马怎样才能免杀? - ?
粱行芬尼: 操作步骤: 第一步:用OD载入,来到程序的入口点. 第二步:把入口点的第一句PUSH EBP 改成POP EBP 然后保存就可以躲过瑞星的表面查杀. 绝招二:快速定位与修改瑞星内存特征码 原理:因为目前的内存查杀杀毒软件,只有瑞星才能...
张家港市13011992070: 木马免杀方法 - ?
粱行芬尼: 呵呵!这个问题我来回答吧!在这我就说两种免杀吧(比较常用的!)1.CCL特征码定位免杀!2.加花免杀!这两种免杀最常用!1.特征码免杀主要是通过改变杀毒软件对病毒木马的定位!从而逃过杀软的查杀!(但是一般任何免杀在一周后就差不多被KILL)加花很简单拉!下个加花器就OK咯!另外特征码定位不能乱了顺序哦!记住!加花到米什么~如果有兴趣,我的QQ:53466495(以前做过免杀讲师,呵呵)还看什么看!给分丫~(*^__^*) 嘻嘻……~另外特征码定位需要工具:CCL你搜就OK咯~加花也是的~!就这样咯!
张家港市13011992070: 木马如何免杀?
粱行芬尼: 先用MYCCL定位特征码~然后OD跳到空白区域,最后加个北斗,资源释放一下再加一个加密壳~你可以去看雪论坛看看~有很多好壳!切忌定位特征码时和免杀测试时断网~最好把网线拔下来~据说瑞星卡巴等等都有后门,当你测试过会发回去~你的小马也就或不多久了!最后祝你免杀愉快~
张家港市13011992070: 你知道吗?病毒木马常见"免杀"方法?
粱行芬尼: 你可以安装9.0版360安全卫士,在安全卫士的《系统修复》里右侧找到《360系统重装大师》功能,点击开始重装,选择“纯净系统重装”或者是“重装后恢复资料和一键安装软件” ,点击下一步,就可以开始重装了.等再过了10多分钟,系统就装好了,而且连一些之前安装的软件也装好了.还不丢数据.
