利用杀软定位特征码
|
|
能够利用myccl反向逐块报毒定位特征码位置后填充00
对output杀毒,杀毒后进行二次处理至如下
这里可以更换软件进行完善
得到特征码和偏移量后点击特征区间进一步定位
右键复合定位对特征码重复以上步骤
直至二次处理后无新特征码 得到精确的特征码地址
定位内存特征码
木马文件运行之后释放到内存所存在的特征,文件先载入内存在进行定位与定位文件特征码相似
用ccl进行调试,检测大小为文件大小-起始位置
开启杀软进行检测并手动放过
对客户端免杀处理
由于PE文件的格式难免出现垃圾代码,当垃圾代码被定义成特征码时,可以使用00填充
10-->00,生成文件保存
通用跳转修改
通过特征码搬家达到免杀,在定位的特征码语句的地方写入跳转指令跳入原本区域的语句实现
使用nop进行填充
确定垃圾代码位置,使用跳转指令至垃圾代码处
对其及其上下行进行汇编后生成
ADD、SUB互换
当特征码里出现了add或sub时可以通过等值原理来更改迷惑
add 28-->sub -28
打乱指令顺序
通过打乱互不干扰的指令的顺序
使用nop进行填充
修改字符串
由于病毒或木马运行时会生成新的启动项或文件,被命名的服务名或文件名会作为特征码,可以通过利用windows对大小写不敏感修改字符串来混淆
它说它不干了,所以这里没图
原文始发于微信公众号(Th0r安全):学习札记-免杀小tips
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论