主要是针对特定杀软查杀我们马子,想要定位到相关特征。或者工具被杀定位其查杀点!
以火绒为例子,这个马子落地被秒,说明是静态问题导致的。
1、使用MYCC.exe工具,该工具可以分块切片我们的马子到达定位到静态特征,把被杀的马子先加个白。
打开MYCC工具选择我们的马子,设置20分块就可以了。
2、点击生成,选择yes;然后使用火绒扫描MYCC工具生成的OUTPUT目录下马子的分块。
3、火绒扫描完立即处理即可,MYCC工具点击二次处理会在工具的右边生成一个大概的特征码,点击特征区间可查看。
4、再次点击MYCC工具的生成按钮,再次生成二十块,然后使用火绒扫描MYCC工具生成的OUTPUT目录下马子的分块,循环到火绒扫描我们的马子未发现风险!
5、火绒扫描未发现风险后,选择特征区间,复合定位此处特征,然后重新分块二十,点击生成,再次火绒扫描,二次处理,循环执行。
6、怎么判断差不多是这个特征呢?一般只要定位到最后的两位数即可。
000D2540_00000002
7、使用PE工具,这里使用010查看,000D2540这个地址里面是什么东西,大概就知道查杀点了。
8、最后修改有源码可以直接改源码,无源码那就直接改PE,我这里更改是直接置0。
9、可以看到静态扫描,已经绕过特征码扫描了!执行上线CS。
原文始发于微信公众号(安全天书):【免杀思路】基于特征码免杀
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论