书院标题关闭所有内容预览 | 展开所有内容预览
-
[转载] 源码免杀思路详解
[内容预览]
319 | 2010-10-06 20:11:41
-汇编免杀相对于源码免杀来说难度太大了,源码免杀的效果可以说非常好其实来说源码免杀的步骤只有两步,定位.修改....需要的就是你对你所需要修改的源码的了解定位,从程序的起始位置,一句代码一句代码的注释.(注意,有可能杀的是多处代码,所以是注释掉第一句后,发现被杀,在注释第二句,并不要把第一句还原)直到杀软不杀..那么说...
[阅读全文]
-
[转载] 主动防御怎么过?
[内容预览]
388 | 2010-10-03 09:13:25
过主动防御的方法: 1.cmd运行前执行的程序(被动启动) HKEY_CURRENT_USERSoftwareMicrosoftCommandProcessor AutoRunREG_SZ"xxx.exe" 2.sessionmanager(自启动) HKEY_LOCAL_MACHINESYSTEMContro...
[阅读全文]
-
[转载] 360免杀技术介绍
[内容预览]
1055 | 2010-10-02 10:02:41
一、ASM汇编这个是最舒服的,用OD打开已经配置好的马,找0区(也可以用TOPO加空段)要很大一片哦!右击,选择“二进制”→“编辑”,在ASCII中输入“Cmd/cREGaddHKLM\SOFTWARE\360Safe\safemon/vMonAccess/tREG_DWORD/d0/f”记下写入命令的改动的第一个地址...
[阅读全文]
-
[转载] 可通用的批量免杀代码
[内容预览]
224 | 2010-09-29 20:46:32
免杀代码替换方法的小结:MOV-CMP(有时候可以替换)MOVEAX,7-SUBEAX,7ADD-ADC(有时候可以替换)SUB-SBB(有时候可以替换)TEST-ANDXOR-OROR-XORLEA-SUBCMP-SUBxoreax,eaxxoreax,eax改成xoreax,eaxoreax,eax有时候可以批量替...
[阅读全文]
-
[转载] 木马免杀技术归总
[内容预览]
328 | 2010-09-22 08:06:33
一.入口点加1免杀法:1.用到工具PEditor2.特点:非常简单实用,但有时还会被卡巴查杀3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可二.变化入口地址免杀法:1.用到工具:OllyDbg,PEditor2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳.3.操作要点:用OD载入无壳的木马程...
[阅读全文]
-
[转载] ASP木马的巧妙免杀技巧大总汇
[内容预览]
160 | 2010-09-18 21:02:28
1.加密法常用的是用微软的源码加密工具screnc.exe,以此来躲开杀毒软件的追杀。优点是见效明显,一般的有害代码用此法加密后,可以存在于服务器上,发挥原有的功能.缺点是代码经过加密后,是不可识别字符,自己也不认识了。2.大小写转换法把被杀程序里的代码,大小写稍作转换.可以躲过一般的杀毒软件。(WORD可以转换大小写...
[阅读全文]
-
[转载] 个人手工免杀技术
[内容预览]
358 | 2010-09-18 20:54:09
其实研究出这个方法有好久了,平时不怎么搞手工免杀,我也不用,就发出来吧进程的本质的线程,那么来个线程就好了,但是NOD32不是纯粹的高启发,还有传统查杀,异或加密一下代码段就可以了方法是以前的,不知道现在还行不行,先说了再说,嘿嘿1.异或加密代码段2.写入以下几句作为入口点pusheaxpusheaxpusheaxpu...
[阅读全文]
-
[转载] 免杀的发展和改特征码经验
[内容预览]
155 | 2010-08-31 01:13:24
回望免杀的开始:用WinHex逐字节修改木马免杀->到后来软件保护(加壳)的加入、特征码免杀技术的公开、多层加壳的发现、反调试技术、针对于PE文件格式的免杀,到如今盛行的源码免杀。再看反病毒的历程:从文件扫描技术、到通配符扫描技术、内存特征码扫描技术、虚拟机扫描技术、主动防御、启发式病毒查杀技术、云查杀。我们不难发现,...
[阅读全文]
-
[转载] 搞定云查杀的实用小技巧
[内容预览]
142 | 2010-08-29 19:55:28
大家好,我也是菜鸟,但是最近在研究360云查杀认为有几点是必须要注意的,拿出来跟大家分享。1、做免杀时一定要关闭自己杀软的上传可疑文件选项;2、避免自启动(包括服务启动和注册表启动);3、不要在小鸡的桌面、windows目录下、system32目录下执行木马,否则360无条件上传exe文件。不到五分钟即会被更新到病毒库...
[阅读全文]
-
[转载] 由浅入深学免杀(免杀教程)
[内容预览]
308 | 2010-08-20 20:26:37
由于马上要参加工作了,也许以后搞免杀的时间都没有了吧,毕竟工作才是重要的,这个只是个爱好罢了。在这里感谢这长时间来对我帮助的兄弟们感谢那些一起研究免杀的技术的兄弟们!此文献给你们,向你们致敬~阿门……同时也献给正在免杀道路上奔波的各位小菜门。时间追溯至2005年国内免杀兴起的时间,也正好2005年7月我高中毕业,记得那...
[阅读全文]
-
[转载] 木马免杀技术归总
[内容预览]
155 | 2010-08-18 20:24:12
一.入口点加1免杀法:1.用到工具PEditor2.特点:非常简单实用,但有时还会被卡巴查杀3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可二.变化入口地址免杀法:1.用到工具:OllyDbg,PEditor2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳.3.操作要点:用OD载入无壳的木马程...
[阅读全文]
-
[转载] 个人手工免杀技术
[内容预览]
151 | 2010-08-15 09:53:28
其实研究出这个方法有好久了,平时不怎么搞手工免杀,我也不用,就发出来吧进程的本质的线程,那么来个线程就好了,但是NOD32不是纯粹的高启发,还有传统查杀,异或加密一下代码段就可以了方法是以前的,不知道现在还行不行,先说了再说,嘿嘿1.异或加密代码段2.写入以下几句作为入口点pusheaxpusheaxpusheaxpu...
[阅读全文]
-
[转载] 给木马程序加花指令和终止安全软件进程
[内容预览]
193 | 2010-06-20 18:59:38
今天我们要了解的,是两种攻击者喜欢使用的木马隐身技术:给木马程序加花指令和终止安全软件进程。一、对木马使用花指令花指令就是指程序中包括了跳转指令及一些无用的指令在内的汇编指令段,有加区加花和去头加花两种,通常是用来改变程序的入口点或打乱整个程序的顺序。而一些杀毒软件在进行木马查杀工作时,都是按从程序的开头到结尾的顺序进...
[阅读全文]
-
[转载] 浅析特征码免杀技术
[内容预览]
112 | 2010-06-20 18:58:45
如果你想学习免杀技术:1.基础的汇编语言2.修改工具(不指那些傻瓜式软件)。如:OllyDbg.PEditor.C32ASM.MYCCL复合特征码定位器。UE.OC.资源编辑器等。还有一些查壳脱壳软件(如:PEIDRL脱壳机等).以下是常用的几种免杀方法及工具:一、要使一个木马免杀首先要准备一个不加壳的木马,这点非常重...
[阅读全文]
-
黑客惯用免杀技术介绍
[内容预览]
457 | 2010-05-21 10:21:26
黑客惯用免杀技术介绍: 一、要使一个木马免杀 首先要准备一个不加壳的木马,这点非常重要,否则免杀操作就不能进行下去。然后我们要木马的内存免杀,从上面分析可以看出,目前的内存查杀,只有瑞星最强,其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀,要进行内存特征码的定位和修改,才能内存免杀。 二、对符...
[阅读全文]
-
[转载] 由浅入深学免杀(最新免杀教程)
[内容预览]
987 | 2010-05-02 20:35:00
由于马上要参加工作了,也许以后搞免杀的时间都没有了吧,毕竟工作才是重要的,这个只是个爱好罢了。在这里感谢这长时间来对我帮助的兄弟们感谢那些一起研究免杀的技术的兄弟们!此文献给你们,向你们致敬~阿门……同时也献给正在免杀道路上奔波的各位小菜门。时间追溯至2005年国内免杀兴起的时间,也正好2005年7月我高中毕业,记得那...
[阅读全文]
-
[图文] 加花指令让鸽子过KV内存
[内容预览]
161 | 2009-11-29 21:22:35
我们首先说下改鸽子的原理。鸽子是一个优秀的反弹控制软件。被所有杀毒软件所杀。那么杀毒软件为什么会知道它就是灰鸽子呢。??是因为,杀毒公司知道鸽子的一些特征玛,在内存里找有没有对应的特征玛。来识别对鸽子进行查杀。我们可以找出来它的特征玛来进行修改。使得杀毒工具无法判断这个软件。所以也就对我们的鸽子不报警了。但是。得知道特...
[阅读全文]
-
灰鸽子免杀全攻略
[内容预览]
770 | 2009-11-29 21:21:50
先看下我的方案:我们要处理的文件一共有5个,分别→HOOK.dll④H_Client.exeSetup.exe→MAINDLL①②③→KEY.dll⑤-我再来给大家讲讲我怎样分别对待这些文件:H_Client.exe用木马控制端免杀器.rar,既可以免杀,又自己指定一个密码,避免木马被他人盗用。HOOK.dll和KEY...
[阅读全文]
