特征码定位器-VirTest,VirTest5.0特征代码定位器(免杀必备工具)

  • A+
所属分类:lcx

特征定位器-VirTest,VirTest5.0特征代码定位器(免杀必备工具)。

VirTest5.0理论分析:

目前比较常有名气的特征码定位器主要有CCL与MYCCL,他们都采用文件分块定位的办法,定位效果带有运气成份,且可能每次定位出的位置都不尽相同,这个免杀带来了困难。研究杀毒软件特征代码时日渐久,慢慢认识到这样一个事实:

杀毒软件在判断特征代码时,一般会解析文件格式,例如PE文件,大致过程可以认为检查这些关键项目

MZ -> PE - >CODE->DATA->IMPORT TABLE->EXPORT TABLE->RESOURCE...

等,我们可以这样假设报毒过程,如果检测文件是PE,如果在CODE位置存在 标志A,在DATA位置存在标志B,在资源位置存在标志C,同时满足这个3个条件,那么杀软就会报毒,VIRTEST工作原理就是要找到引起报毒最后一个标志,也就是假设中的标志C。

因此VIRTEST采用2分排除法,测试标志C所在文件中的位置,由于被杀的文件可能存在多个
类似于ABC这样的连锁条件,所以我们必须要通过一种排除机制,先要找最靠近文件前部的连锁条件,排除掉文件尾部数据,当找到第一个连锁条件后,抹掉引标志C,再恢复尾部数据,

然后继续测试另外的连锁条件,直到找到最后一个连锁条件,抹掉后,整个文件免杀了,则说明特征代码被定为完毕了,所以VIRTEST绝对可以精确的定位出所有的复合特征。这比文件分块定位法先进得多,更为科学。

所以VIRTEST5.0必定是当前最先进,最好的特征代码定位器,免杀的必备武器。

VirTest5.0采用二分排除法定位特征代码,对单一以及复合特征定位极其精确可靠。

VirTest5.0可以自动验证定位结果。

VirTest5.0可以直接观察特征码所在位置文件数据。

VirTest5.0可以说是目前最好特征码定位器,可以将特征代码锁定在1-7字节范围内。

特征码定位器-VirTest,VirTest5.0特征代码定位器(免杀必备工具)

第一步: 制作测试文件

在无杀毒软件环境,点击该按钮,选择你要定位的目标文件(被杀的木马或者病毒),点确认后,会在VIRTEST.EXE同级目录生成加密文件VIRTEST.VIR。

第二步: 载入测试文件

在有杀毒软件环境,点击该按钮,选择刚刚生成出来的VIRTEST.VIR,点确定。

第三步: 定位特征代码

在有杀毒软件环境,点击该按钮,出现扫毒提示,根据提示,可以选择自动确认(等待1秒)。

第四步: 查看结构

如果运气好,VIRTEST会测试出所有的特征代码,通过点击特征代码位置信息,可以查看对应文件的数据。

BY WHG, QQ: 312016,HTTP://WWW.CNASM.COM

下载地址:http://www.cnasm.com/down/VirTest5.0.rar

源自:

作者Bloghttp://blog.csdn.net/whg0001/article/details/7263031

作者网站http://www.cnasm.com/view.asp?classid=49&newsid=348

(PS:由于“追踪PlugX Rat作者,人肉定向攻击远控PlugX开发者”,事件的影响,作者网站东西删的差不多了)

文章来源于lcx.cc:特征码定位器-VirTest,VirTest5.0特征代码定位器(免杀必备工具)

相关推荐: XSS解决方案系列之二:知其所以然—浏览器是如是解码的

说明: 1. 本ID所有文章皆为原创,写文章时没有参考任何文档,推荐参考的link是网络搜索的,不涉及版权。 2. 此文是纯技术文章,如果不幸遇冷,本ID将无限孤独。 3. 技术是没有司界的,能帮助你是我的快乐,如果不想偷着乐,可以站出来乐一下。 4. 理解了…

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: