Red de conocimiento informático - Material del sitio web - Cómo proteger archivos del escaneo

Cómo proteger archivos del escaneo

Método 1: (Solo puede hacer que el archivo sea inmune a la eliminación y puede eliminarse en la memoria después de ejecutarse) El programa de empaquetado es un software comúnmente utilizado por Ma Zai. Se utiliza para agrupar el lado del servidor de archivos como los caballos de Troya. y engañar a la otra parte para que los ejecute. Ahora muchos programas empaquetados serán revisados ​​y eliminados.

WinRAR es un software de compresión/descompresión en línea de uso común. Admite una variedad de formatos de compresión, incluido zip, y ahora cada vez a más personas les gusta usar WinRAR para comprimir software.

Utilizando sus funciones de autoextracción y ejecución de archivos, se pueden cumplir los requisitos básicos del programa incluido.

Primero seleccionamos los dos archivos "server.exe" y "my photo.jpg", hacemos clic derecho y los agregamos a "XXXXX.rar". ". (XXXXX es el directorio donde se encuentra el archivo) Luego haga doble clic para abrir este archivo rar y haga clic en el icono autoextraíble en la barra de herramientas. En el cuadro de diálogo emergente, seleccione "Autoextraíble avanzado". Opción Complete la "Ruta de extracción" La ruta para descomprimir el archivo rar, systemroottemp representa la carpeta temporal en el directorio de instalación del sistema, generalmente la carpeta c: winnttemp. Ingrese el servidor troyano "server.exe" en "Extraer y ejecutar". Ingrese "my photo.jpg". Esto es un poco engañoso. El programa generado primero llamará al programa de visualización de imágenes asociado predeterminado para abrir "MyPhoto.jpg", luego cerrará el programa de visualización de imágenes y luego ejecutará "server.exe". Causará cierta confusión, por lo que el orden no se debe invertir; de lo contrario, quedará expuesto.

Ahora haga clic en la pestaña "Avanzado" y seleccione las opciones "Ocultar todo" y "Sobrescribir todos los archivos". Estas dos opciones son para evitar ventanas emergentes al descomprimir archivos rar. Luego haga clic en la pestaña "Texto e ícono", seleccione el ícono que desee.

Haga clic en "Aceptar" dos veces para regresar. Se generará el mismo nombre que el archivo rar. También puede cambiar el nombre del archivo, por ejemplo, "MyPhoto.jpg.exe". Tenga en cuenta que la extensión del archivo debe ser

Ventajas:

.

1. Los archivos "incluidos" de WinRAR nunca serán revisados ​​ni eliminados, por lo que no tiene que preocuparse de que algún día el software antivirus apunte a su "máquina incluida".

2. Será un poco confuso esperar a que se ejecute el primer programa normal antes de ejecutar el servidor.

Desventajas:

1. El programa generado es demasiado grande. 0 El archivo exe generado es mucho más grande que el archivo rar. Si es un archivo grande "empaquetado", debería estar bien

2. La operación es más problemática. :

1. Todas las operaciones anteriores se han probado en WinXP WinRAR3.0.

2. En el modo autoextraíble avanzado, simplemente elija ocultar el cuadro de diálogo de inicio. Si elige ocultar todo, entonces la imagen no se puede ver (este es el caso en el menú, por lo que no importa si el archivo autoextraíble está incluido con el troyano, ¡no aparecerá en el archivo! carpeta descomprimida, puede ver claramente el servidor que viene incluido con el troyano Solución 2: (Antivirus perfecto) Parte 1: Análisis de software antivirus extranjero

Antes de hablar sobre las características de la memoria del código de localización, primero analicemos las características de escaneo de la memoria de los famosos programas antivirus nacionales y extranjeros. En el proceso de uso de troyanos, encontrará que la verificación de memoria generalmente se refiere a la verificación de memoria de Rising. La función de verificación de memoria de Rising es la más potente entre los programas antivirus similares.

Las comprobaciones de memoria de los potentes Kabbah, Kingsoft, etc. tienen poca importancia. Cualquiera que pueda crear software antivirus sabe que mientras los archivos sean software antivirus, la memoria será software antivirus. Jiangmin también tiene una función de escaneo y eliminación de memoria, pero la función de escaneo y eliminación de memoria es relativamente débil. Sólo se dirige a programas de virus muy influyentes. El software de piratería general no extraerá firmas de memoria.

Parte 2: Contramedidas para evitar matar troyanos 1. Para evitar matar troyanos, primero debes preparar un troyano sin shell. Esto es muy importante; de ​​lo contrario, las siguientes operaciones para evitar matar no serán posibles. II. Luego necesitamos descifrar la memoria de los troyanos. Del análisis anterior, podemos ver que actualmente solo Rising es el más fuerte en escaneo de memoria y eliminación de otros programas antivirus. tener memoria dirigida a Rising Escanear y eliminar, localizar y modificar la firma de la memoria, para que la memoria pueda descifrarse. Lo primero que debemos hacer es localizar y modificar la firma de la memoria para liberar la memoria. Coincide con otro software antivirus, como Jiangmin, Kingsoft, Norton, Kabbah, etc. Podemos utilizar los siguientes métodos o utilizar una combinación de estos aspectos. 1gt;. El punto de entrada más 1 método de eliminación inactivo. 2gt;.Cambia la dirección de entrada para evitar que te maten

3gt;.Método de comando de flor 4gt;.Agrega conchas o disfrazate para evitar que te maten. 5gt;.Jugar con los archivos de encabezado del shell es una forma de evitar que lo maten. 6gt;.Modifica el código de caracteres del archivo para evitar su detección. Parte 3: Ejemplo de demostración de tecnología anti-muerte 1. Agregue 1 al punto de entrada para evitar matar: 1. Utilice el editor de herramientas 2. Características: Muy simple y práctico, pero a veces revisado por Kaba. 3.3 Puntos de operación: abra el programa troyano sin shell con PEditor y agregue 1 a la entrada original.

2. Cómo evitar la muerte cambiando la dirección de entrada: 1. Herramientas: OllyDbg, PEditor2. Características: la operación es relativamente simple y el efecto de muerte es mejor que agregar 1 punto al punto de entrada. 3. Puntos de operación: cuando OD carga el programa troyano sin shell, mueva los puntos de entrada de las dos primeras oraciones al área cero para su ejecución y luego regrese al punto de entrada de la tercera oración a continuación para continuar con la ejecución. Finalmente, use PEditor para cambiar el punto de entrada a la dirección del área cero. Tres formas de agregar instrucciones de flores para evitar antivirus: 1. Herramientas OllyDbg y PEditor 2. Características: Gratis y muy versátil Con la adición de instrucciones de flores, básicamente puede eliminar la necesidad de una gran cantidad de software antivirus. 3. Puntos de operación: abra el programa troyano sin caparazón OD, busque el área cero, complete las instrucciones de la flor que vamos a completar y regrese al punto de entrada, guárdelo y luego use PEditor para cambiar el punto de entrada al área cero y complete la dirección de las instrucciones de la flor.

Cuatro. Método de exención de caparazón o caparazón de camuflaje: 1. Herramientas: algunas herramientas de caparazón frío o caparazón de camuflaje, como ropa colorida de caballo de Troya, etc. 2. Características: La operación está simplificada, pero el tiempo de inmunidad no es largo y es posible matarlo rápidamente. Es difícil escapar de la persecución de Kabbah. 3. Puntos de operación: para lograr un mejor efecto anti-muerte, puede usar proyectiles de varias capas o agregar proyectiles camuflados después de los proyectiles para lograr un mejor efecto anti-muerte.

5. Métodos para alterar los archivos de encabezado de los shells o los shells sin flores: 1. Usar herramientas: acción encubierta, herramienta de shell UPX. 2. Características: La operación es infalible y el efecto anti-muerte es naturalmente bueno, especialmente el efecto anti-muerte contra Kabbah. 3. Puntos de operación: primero, use el shell UPX para programas troyanos descomprimidos y luego use la función SCramble en la herramienta de acción encubierta para codificar el archivo de encabezado del shell UPX, a fin de lograr el efecto de evitar la muerte.

6. Métodos para modificar firmas de archivos para evitar su muerte:

1. Herramientas: localizador de firmas, OllyDbg2 Características: La operación es relativamente compleja. Requiere localizar y modificar una serie de procesos, y solo se puede utilizar para. Evite eliminar cada software antivirus. Para evitar eliminar varios programas antivirus, es necesario modificar los códigos de función de varios programas antivirus. Pero el efecto anti-muerte es bueno. 3. Puntos de operación: localizar un software antivirus y modificar una serie de códigos de función, lo cual es un proceso largo y lento.

Parte 4: Localice y modifique rápidamente las firmas de la memoria Rising 1. Firmas de la memoria Rising: por razones técnicas, actualmente se utilizan más de 90 cadenas de firmas en la memoria Rising como firmas de virus, lo que nos facilita localizarlas y modificarlas.

Dos puntos de posicionamiento y modificación: 1gt;. Primero, use el localizador de firmas para ubicar aproximadamente la ubicación de la firma de Rising Memory 2gt;. Luego ábralo con UE, busque la ubicación aproximada, vea qué cadena corresponde, reemplácela con 0 y luego use la memoria para eliminarla. Hasta que se encuentre la firma de la memoria, siempre que la cadena se intercambie entre mayúsculas y minúsculas, se puede lograr el efecto sin memoria.

Parte 5: Ejemplo de programa anti-kill

1. Programa anti-kill completo: modificación de la firma de memoria La herramienta de acción encubierta del shell UPX destruye el archivo de encabezado del shell UPX.

2. Programa completamente gratuito 2: Modifica la firma de la memoria, agrega un shell comprimido, agrega camuflaje de shell

3: Modifica la firma de la memoria, modifica las firmas de. varios archivos de software antivirus Agregue una carcasa comprimida

4. Programa completamente gratuito 4: Modifique la firma de la memoria y agregue una instrucción de flor para agregar una carcasa presurizada

5.: Modifique el firma de memoria y agrega una instrucción de flor al punto de entrada del shell comprimido por 1 UPX puede destruir archivos de encabezado del shell y otros programas anti-kill en cualquier combinación. Para lograr un mejor efecto anti-muerte.