Cómo estar libre de troyanos

Primera parte: análisis de software antivirus nacional y extranjero

Antes de hablar sobre las características de memoria del código de localización, primero debemos analizar las características de verificación de memoria de los famosos Software antivirus nacional y extranjero. En el proceso de uso de troyanos, todos encontrarán que el escaneo de memoria generalmente se refiere al escaneo de memoria de Rising. La función de verificación de memoria de Rising es la más potente entre los programas antivirus similares. Los potentes controles de memoria como Kabbah y Kingsoft tienen poca importancia. Cualquiera que sepa cómo crear software antivirus sabe que mientras los archivos sean software antivirus, la memoria también será software antivirus. Jiangmin también tiene una función de escaneo y eliminación de memoria, pero la función de escaneo y eliminación de memoria es relativamente débil. Sólo se dirige a programas de virus muy influyentes. El software de piratería general no extraerá firmas de memoria.

Parte 2: Contramedidas para evitar matar troyanos

1. Para evitar matar troyanos, primero debes preparar un troyano sin shell. Esto es muy importante; de ​​lo contrario, se realizarán las siguientes operaciones. realizado para evitar matar. No se puede continuar.

II. Luego, debemos realizar el escaneo y eliminación de la memoria de los troyanos. Del análisis anterior, podemos ver que actualmente el escaneo y eliminación de la memoria más potente es solo Rising. El software antivirus ya no funciona, por lo tanto, solo podemos realizar el escaneo y eliminación de la memoria para Rising, y localizar y modificar el código de función de la memoria para llevar a cabo el escaneo y la eliminación de la memoria.

Tercero. Otro software antivirus, como Jiangmin, Kingsoft, Norton, Kabbah, etc. Podemos usar los siguientes métodos o podemos usar una combinación de estos métodos.

1gt;. Agregue 1 al punto de entrada para evitar matar.

2gt;.Cambiar método de dirección de entrada

3gt;.Método de comando de flor

4gt;.Agregar conchas o disfrazar conchas para evitar que te maten.

5gt;. No está permitido destruir los archivos de encabezado del shell.

6gt;. Modifica la firma del archivo para evitar que lo eliminen.

Parte 3: Demostración de técnicas anti-muerte

I. Agregue un método antivirus al punto de entrada:

1. Utilice la herramienta: PEditor

2. Características: Muy simple y práctico, pero a veces Kappa lo verificará.

3. Puntos de operación: abra el programa troyano sin shell con PEditor y agregue 1 a la entrada original.

2. Cambie la dirección de entrada para evitar la detección:

1. Herramientas utilizadas: OllyDbg, PEditor

2. El efecto de evitar matar es mejor que sumar 1 punto al punto de entrada.

3. Puntos de operación: use OD para cargar el programa troyano sin shell, mueva los puntos de entrada de las dos primeras oraciones al área cero para su ejecución y luego regrese al punto de entrada de la tercera oración a continuación. para continuar la ejecución. Finalmente, use PEditor para cambiar el punto de entrada a la dirección de zona cero.

3. Agregue métodos de comando de flores para evitar métodos antivirus:

1. Herramientas utilizadas: OllyDbg, PEditor

2. -virus Muy bien, después de agregar el comando flor, básicamente elimina la necesidad de una gran cantidad de software antivirus.

3. Puntos de operación: use OD para abrir el programa troyano sin caparazón, busque el área cero, complete las instrucciones de la flor que vamos a completar y regrese al punto de entrada, guárdelo y luego use PEditor para cambiar el punto de entrada. Complete el área cero con la dirección de la instrucción de la flor.

4. Métodos para agregar caparazones o caparazones de camuflaje libremente:

1. Utilice herramientas: algunas herramientas de caparazón frío o de camuflaje, como abrigos de caballo de Troya, etc.

2. Características: La operación es simple, pero el tiempo de matanza no es largo. Puede morir rápidamente y es difícil escapar de la persecución de Kabbah.

3. Puntos de operación: para lograr un mejor efecto anti-muerte, se pueden usar múltiples proyectiles de artillería, o el efecto anti-muerte es mejor después de agregar proyectiles de camuflaje a los proyectiles de artillería.

5. Métodos para destruir el shell del archivo de encabezado o el shell en el shell:

1. Herramientas: operaciones encubiertas, herramientas de shell UPX.

2. Características: La operación es infalible y el efecto anti-muerte es perfecto, especialmente el efecto anti-muerte en Kabbah.

3. Puntos de operación: primero, empaquete el programa troyano desempaquetado con la capa UPX y luego use la función SCramble de esta herramienta para interrumpir el archivo de encabezado empaquetado UPX durante acciones encubiertas, para evitar el efecto Killing. .

6. Modificar las características del archivo del código. Métodos para evitar la modificación de la firma del archivo:

1. Utilizar herramientas: localizador de firmas, OllyDbg

2. Características: la operación es relativamente compleja y es necesario modificar una serie de procesos ubicados. Cada software antivirus solo puede eximirse de la eliminación para lograr inmunidad contra múltiples software antivirus. Códigos de múltiples programas antivirus. Pero el efecto anti-muerte sigue siendo bueno.

3. Puntos operativos: Modificar el posicionamiento de un software antivirus requiere una serie de procesos largos y lentos.

Parte 4: Localice y modifique rápidamente los códigos de características de la memoria Rising

1. Código de firma de memoria ascendente: por razones técnicas, más de 90 cadenas de caracteres en el código de firma de memoria ascendente actual son firmas de virus, lo que nos facilita localizarlas y modificarlas.

2. Puntos clave para localizar y modificar:

1gt; Primero, utilice el localizador de firmas para ubicar aproximadamente la ubicación de la firma de la memoria Rising.

2gt;. Luego puedes abrirlo con UE, encontrar la ubicación aproximada, ver qué aspectos corresponden a la cadena, reemplazarla con 0 y eliminarla usando el inspector de memoria. Hasta que se encuentre el código de firma de la memoria, simplemente intercambie las mayúsculas y minúsculas de la cadena para lograr el efecto de escaneo sin memoria.

Parte 5: Demostración del programa de muestra

1. Programa antivirus completo:

Modificación del código de firma de memoria La herramienta de acción encubierta UPX Shell destruye el archivo de encabezado de UPX Caparazón . Programa cuatro completamente gratuito:

La modificación del código de la función de memoria agrega un shell de compresión de instrucciones de flor

4. Shell de compresión

5. Programa gratuito completamente anormal:

Modifique el código de función de memoria y agregue 1 al punto de entrada de la instrucción, comprima el UPX del shell y codifique el archivo de encabezado del shell

Hay otros programas gratuitos que se pueden combinar de cualquier forma. También puedes combinarlos para obtener mejores resultados.