查看: 344|回复: 8

[事务咨询] 白金远程管理v4[1].73进行免杀笔记及问题

[复制链接]
发表于 2014-10-20 14:19:03 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转黑反社区。

您需要 登录 才可以下载或查看,没有帐号?加入黑客反病毒

x
改壳特征

第一部分  预处理验证+加壳验证部分

1)将免杀文件扔到360杀软去,验证是否被查杀(注意验证被查杀之后,选择暂不处理)

2)将免杀文件扔到PEid0.95查看其是否被加过壳。如果没有加壳,请用加壳工具将其加壳,然后再用360

查杀。因为加壳之后可以是绝大部分的特征码改掉,留下的也就基本上只有可的特征码了,可以基本上专

心修改壳的特征码基即可了。


第二部分  使用OD改变特征码部分

1)用OD将将面纱打开,开始初步调试

2)两种方法改变可部分的特征码:等价替换指令+改变入口点

3)先找一段空白区将其NOP掉,其起始地址为 006C2545   终结地址为 006C257A

4)复制原程序入口点006C2001 >  60              pushad      和他下一指令的地址006C2002                       

5)来到NOP区块头部006C2547处 进行编辑 为pushad

6)在下一指令位置编辑   jmp 006C2548    在来到006C2548处编辑 jmp short 006C254C

7)在来到006C254C处编辑来到原入口点的下一指令地址 006C2002

8)用loadPE将保存过的文件入口点修改为 006C2547,打开loadPE,点击PE编辑器,在弹出的对话框中

打开保存文件,这是会看见程序入口点为002C2001,而我们的用OD运行时得出的入口地址为006C2001,

这是不是有点奇怪,其实这是因为loadPE编辑器中显示的入口点地址是经过减去镜像基址00400000的,

即loadpe上显示的是相对基址的偏移地址。

9)现在尝试一下启动,验证是否可以正常进行工作。软件出现异常无法打开。这是因为什么

呢?期待大牛的指点和接下来自己的专研。
发表于 2014-11-14 19:01:30 | 显示全部楼层
很抱歉,我提出一个疑问!
我感觉你上面做的都是无用功,对于免杀来说基本是在今天是无语的,你就算改入口重叠4次都是无用的。

请问360对于你的白金远控是几处查杀,
你用的什么壳,你打补丁还是什么。

白金远控基本是360重点查杀的对象,就算你做好了免杀也是无用的。多半在你第一次运行的时候不到5分钟就给你杀了!
 楼主| 发表于 2014-11-15 00:10:59 | 显示全部楼层
谢谢你的提醒!!
发表于 2014-11-16 03:30:13 | 显示全部楼层
1483122458 发表于 2014-11-15 00:10
谢谢你的提醒!!

我敢啦,我也只是一个菜鸟而已,只是做免杀很久了,还有现在远控没有源代码要想做免杀真不是以前那么容易了。

你用jmp改特征码,这个方法09年基本上就很吃力了!
 楼主| 发表于 2014-11-16 12:10:38 | 显示全部楼层
我是刚从渗透方面转过来的,现在是渗透需要到什么就学什么,逆向,破解,免杀都要涉略。我也还是只个菜鸟。
 楼主| 发表于 2014-11-20 15:30:26 | 显示全部楼层
gengencao 发表于 2014-11-16 03:30
我敢啦,我也只是一个菜鸟而已,只是做免杀很久了,还有现在远控没有源代码要想做免杀真不是以前那么容易 ...

请教一下,360杀MQV12,是杀壳?可以通过什么方法免杀?
发表于 2014-11-20 20:16:11 | 显示全部楼层
1483122458 发表于 2014-11-20 15:30
请教一下,360杀MQV12,是杀壳?可以通过什么方法免杀?

其实我在这里也有点糊涂了!因为我不太懂为什么你说杀壳,难道你的意思就是说源代码不加壳的就不杀了吗?我感觉不太可能呀!我想问下,你是否能肯定你找的特征吗是真实的!这个很重要!因为大部分人都忽略了这个问题!所以免杀做不好!
 楼主| 发表于 2014-11-21 10:25:08 | 显示全部楼层
gengencao 发表于 2014-11-20 20:16
其实我在这里也有点糊涂了!因为我不太懂为什么你说杀壳,难道你的意思就是说源代码不加壳的就不杀了吗? ...

我在一些资料上了解到所谓的杀壳是,在给恶意软件加壳后杀毒软件只只识别到可的特征码。
发表于 2014-11-21 14:10:31 | 显示全部楼层
1483122458 发表于 2014-11-21 10:25
我在一些资料上了解到所谓的杀壳是,在给恶意软件加壳后杀毒软件只只识别到可的特征码。


你的壳一定是在网上找的吧,你的免杀技术还停留在06年的时候。
你能在网上找到的壳,基本上都已经被杀毒软件给分析的很透彻了,你有队壳打补丁吗?我想一定是没有的。可能你都不会。

还有你为什么认为你找到的特征码就是真实的。我写了一个帖子你去看看吧
http://bbs.hackav.com/thread-12705-1-1.html
关闭

站长推荐上一条 /1 下一条

Archiver|手机版|小黑屋|黑客反病毒组织 ( 京ICP备12031837号-2 )  

GMT+8, 2017-9-21 18:17 , Processed in 1.500784 second(s), 29 queries , Gzip On.

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表