杀软的查毒方式
写这篇文章送给喜欢免杀的朋友 当成新年的祝福吧 呵呵
很多朋友都在为怎么过杀软敢到很困惑,因木马免杀不了感到烦恼,看了这文章你将会对杀软是如何把你的木马杀的了,写的不好大家包含。
免杀的开始就是定位特征码,特征码的定位时一定要细心,我相信有的朋友在定位的途中忘了自己是要生成文件还是要杀毒吧,定位器的选择很重要,这里我推荐用multiCCL定位(打包),因为multiCCL相对与myccl的他的定位出的特征码一般都是特征段,有的时候长度可以达到21字节,而myccl是2个字节,我们过杀软就是把特征进行修改,大家想想对于21选1简单还是2选1简单,当然也不是定位所有的特征码都是21个字节,myccl对于新手来说搞不懂那些什么开始位置,大小,还有带后缀和不带后缀,定位的时候容易定位出错,再就是一些用myccl的人定位的时候喜欢用00填充来配合定位,对于这种情况有时会定位不出特征码生存--文件永远被杀,这是为什么呢?因为杀软对在这个木马已经认识了,00填充也被加如了杀软的特征库,也就是00填充也是个变种,而multiCCL它定位特征码每次来填充的数据都是随即的,所以为了帮让杀让简单的认识我们的木马我们应当选择multiCCL作为自己的定位工具。很多朋友不知道multiCCL怎么用,那是因为他们定位出来后的文件看不懂,我这里就写出个例子Codz1=H_0000097F_0000099F_00000021_00001B17,解释是 特征=文件类型_特征码启始便偏移量_特征码结束便偏移量_特征码长度_文件标记,其中偏移量就是在C32ASM中的文件地址,相信大家都可以看的懂把。杀软为了追杀我们的木马特意弄里很多种方式来认识我们的木马,文件特征,内存特征,行为定位,以及启发定位,我们先说文件定位,先给大家讲个小故事,有一个放牛的农夫很傻,但他却喜欢偷懒,放牛的时候他把牛栓在树上自己就跑回家睡大觉去了,等到天黑的时候他就去找那树和牛,那人不认识什么是树什么是牛没次总是找到树再去找牛,找都牛还要想想是不是自己的再去找树,只有树和牛都找到他才会把牛带回家,就这样一日又一日,终于有一天一个恶作剧爱好者把他的牛给杀了,牛就死在了树旁,天黑了 以下内容需要回复才能看到
,农夫去找牛很快他找到了数,再找牛,但他却找不到了,他问树看到他的牛没有,树当然不能告诉他,因为树也不知道,而那头死牛就在旁边他还,农夫看了看那牛说这不是牛,于是就一个人回家了,农夫最后没有发现他的牛。可能有的朋友看不懂没关系我说明下,杀软通过特征对比来进行认识我们的木马,刚好定位器定位到了我们的牛或者树,我们把书或者牛个弄掉,杀软就不认识了,这是为什么呢?其实杀软是先通过2进制查找字符或其他方法来先确定树或者牛,如果找到了马上开始特征码对比行为,怎么对比呢?先不急,大家这个时候可以随便个把EXE文件放如C32ASM中以16进制打开,我们会发现很多汇编代码,文件定位就是先扫描到树或者牛,书和牛就是这些汇编代码其中的一段,比如8B EF 76,然后开始定位和他一起有牵连的牛或者树,在这里说下不同上软定位树或者牛的方法是不同的,而且找另外牵连的也是不同的,所以每种杀软的特征码会不同,着里我举个例自(00F0000000E004000058000000580100000000000000000000000000400000E0)比如杀软通过查找把树定在了00000210的E0 04 00 00 58我通过查找计算对比特征库知道在0000022C处如果有40 00的话就认为是jack.king病毒的话那么就可以说他们之间就是树和牛的关系,我们只要改变其中任何一个杀软都是不知道的,也就是说明我们定位的特征码还有对应的另外的一个地方,假如我们不能对改地方做免杀的话可以考虑找另外一处有联系的(这里说下本来准备写个定位器的,但由于一直都有其他问题需要研究,就没写了),这里涉及到一种新的定位方法,这里暂且不说。我们知道了文件定位,内存定位就很容易懂了,也是树和牛的原理,只不过是在查找内存里的,其他特征方法我们也应该大概知道了,但也不是那么简单找,
这就写到这了有机会我再继续写把。
-----------------------by jack 2008.2.1 QQ:271669035
