我的黑客生活
我的黑客生活
我是黑客吗?没有人给我回答 我还是学生.还要完成我的学业 注意: 本人可以回答问题 第一个免费,第二个免费,第三个收费,以后可以考虑打折!
临川一中不是人待的地方!!
博客信息
博主:DataBaseOwner 
栏目分类
最新文章
最新评论
标签列表
博客搜索
日志存档
·2009-1 ( 1 )
·2008-10 ( 4 )
·2008-7 ( 4 )
·2008-6 ( 5 )
·2008-5 ( 1 )
·2008-4 ( 3 )
·2008-2 ( 10 )
·2008-1 ( 53 )
友情链接
统计信息
访问:90392 次
今日访问:2次
日志: -160篇
评论: 29 个
留言: 9 个
建站时间: 2008-1-12
博客成员
DataBaseOwner 管 理 员
数字狼 管 理 员
最近访客



Blackseed免杀经验技巧
作者:DataBaseOwner 提交日期:2008-7-10 8:33:00 正常| 访问量:444

今天给大家谈一下免杀的小技巧。技术不大,全是经验。希望大家看完后有所收获。
1:
004B3920: 64:8910 MOV FS:[EAX],EDX
004B3923: 68 35454B00 PUSH 4B4535 -------------替换处(2)
004B3928: E8 83D3FFFF CALL 004B0CB0
004B392D: C3 RETN
004B392E: E9 E9FDF4FF JMP 0040371C
004B3933: EB F3 JMP SHORT 004B3928
004B3935: 33C0 XOR EAX,EAX
004B3937: 5A POP EDX
004B3938: 59 POP ECX
004B3939: 59 POP ECX
004B393A: 64:8910 MOV FS:[EAX],EDX
004B393D: 68 5D454B00 PUSH 4B455D -------------假设特征码处(1)
004B3942: 8D85 64FDFFFF LEA EAX,SS:[EBP-29C]
004B3948: E8 4F04F5FF CALL 00403D9C
004B394D: 8D45 FC LEA EAX,SS:[EBP-4]
004B3950: E8 4704F5FF CALL 00403D9C
004B3955: C3 RETN

假设特征码处(1),大家看下是不是觉得很难改,改了有些可能出错,跳转一般都不行。我们可以试一下和(2)处交换下。
看是不是是能免杀上线。如何可以吧。因为他们都是压入堆栈,我们只是换了个地址而已。
2:
004B3920: 64:8910 MOV FS:[EAX],EDX
004B3923: 68 35454B00 PUSH 4B4535
004B3928: E8 83D3FFFF CALL 004B0CB0 ------假设特征码处(1)
004B392D: C3 RETN
004B392E: E9 E9FDF4FF JMP 0040371C
004B3933: EB F3 JMP SHORT 004B3928
004B3935: 33C0 XOR EAX,EAX
004B3937: 5A POP EDX
004B3938: 59 POP ECX

在看这个特征码处 ,假设跳转不行,无法上线。那么我们和下面或上面的代码交换下位置试一试。看下是否上线了,而且功能全齐吧!


还有些比较厉害的杀毒软件把你ccl或myccl生成出的特征码全都给杀了,是吧。你可以试一试加壳,再查。如果你想做无壳的。
怎么办?办法还是有。你去头加区。试一试不用新加的哪个区段去CCL或MYCCL去生成特征码试一试。有些可能不行,比如黑防。
在这只是给大家介绍些经验,希望各位多多研究,多想些办法。不要放弃。肯定是有办法的。只要你肯研究我不相信你就免杀不了。
不说了,今天就到这,这只是说说经验,当然上面的方法是我自己想出来的,我不保证100%成功。只想给大家一个启发。
送大家免杀6字真言:不放弃,多研究!


#日志日期:2008-7-10 星期四(Thursday) 晴 送小红花 推荐指数:复制链接 举报


登录 | 新人注册>>
输入您的评论:(不支持HTML标签)


验证码
本文所属博客:我的黑客生活
引用地址:


copyright blog.tianya.cn

© 天涯社区