Cómo evitar matar.
1. Antivirus y escaneo de archivos: use software antivirus para escanear el programa sin ejecutarlo y obtener los resultados.
2. Protección antivirus de la memoria: método de juicio 1gt; utilice la función de escaneo de memoria del software antivirus después de ejecutarlo.
2gt; carga con OD y utiliza la función de escaneo de memoria del software antivirus.
Qué es un código de firma:
1. Significado: una cadena de firma de no más de 64 bytes, utilizada para identificar un programa como virus.
2. Para reducir la tasa de falsas alarmas, generalmente el software antivirus extraerá algunas firmas de la cadena. En este momento, a menudo podemos lograr el efecto de no matar cambiando solo un lugar.
Por supuesto, algunos programas antivirus necesitan realizar varios cambios al mismo tiempo para evitar ser detectados y eliminados. (Estos métodos se presentarán en detalle más adelante)
3. El siguiente es un diagrama esquemático para comprender el concepto específico de firma
El posicionamiento y el principio de la firma:
1. Método de búsqueda del código de función: si el código de función se reemplaza por los datos que completamos en el archivo (como 0), la alarma del software antivirus
no podrá sonar. determine la ubicación a través del código de característica
2. El principio de funcionamiento del localizador de firmas: reemplace algunos bytes en el archivo original con 0, luego genere un nuevo archivo y luego determine la ubicación de la firma en estos archivos según los resultados de la detección del software antivirus.
Herramientas de modificación y juicio de ubicación del código de firma:
1.CCL (localizador de código de firma, ahora obsoleto debido a la actualización del software antivirus)
2.MYCCL (firma localizador de código, utilizado por el programa miembro Tanknight mejorado sobre la base de CCL)
3.OllyDbg (modificación del código de función, se puede utilizar para el desmontaje)
4.C32ASM (código de función modificación, también se puede usar para desensamblar)
5.OC (usado para calcular el desplazamiento desde la dirección de desplazamiento del archivo hasta la dirección de memoria del dispositivo)
6.UltaEdit-32 (hexadecimal editor, utilizado (debido al posicionamiento preciso manual o modificación del código de característica)
Método de modificación del código de característica:
La modificación del código de característica incluye la modificación del código de característica del archivo y la modificación del código de característica de la memoria, porque estos El método de dos modificaciones del código de características
es universal. Por lo tanto, daremos una introducción general a los métodos actualmente populares para modificar el código de función.
Método 1: Modificar directamente el número hexadecimal del código de característica
1 Método de modificación: Cambiar el número hexadecimal correspondiente al código de característica a un número hexadecimal diferente de 1 o. Número de base similar.
2. Ámbito de aplicación: asegúrese de ubicar con precisión el código hexadecimal correspondiente al código de característica y asegúrese de probar si el archivo se puede utilizar
normalmente después de la modificación.
Método 2: Cómo modificar el caso de las cadenas
1. Método de modificación: el contenido del código de característica correspondiente es una cadena, siempre que se intercambien los tamaños.
2. Ámbito de aplicación: el contenido correspondiente al código de característica debe ser una cadena; de lo contrario, no tendrá éxito.
Método 3: Método de sustitución equivalente
1. Método de modificación: Reemplace el comando de instrucción de ensamblaje correspondiente al código de característica con una instrucción con función similar.
2. Ámbito de aplicación: Los códigos de característica deben tener instrucciones de montaje de reemplazo. Por ejemplo, JE y JNE pueden sustituirse por JMP.
Si no comprende las compensaciones de montaje, puede consultar el manual de montaje del 8080.
Método 4: Método de intercambio de secuencia de instrucciones
1. Método de modificación: intercambie el código de secuencia y el código de característica.
2. Ámbito de aplicación: existen ciertas restricciones. La ejecución normal del programa no puede verse afectada después del reemplazo del código.
Método 5: método de salto general
1. Método de modificación: después de ejecutar el código de característica en el área cero (refiriéndose al espacio en el código), use la instrucción jmp para regresar incondicionalmente al código original y continuar ejecutando la siguiente instrucción
2. Ámbito de aplicación: Método de modificación general, se recomienda que todos dominen este método de modificación.
Método de modificación integral sin troyanos:
Método sin archivo:
1. Agregar shell frío
Por ejemplo, si el programa es un panqueque, entonces la capa exterior es la bolsa, por lo que no puedes descubrir qué hay en la bolsa. Generalmente, los shells más utilizados son fáciles de reconocer por el software antivirus, por lo que a veces se utilizan en shells oscuros, es decir, shells que no se utilizan habitualmente. Si va a comprar chicle ahora, encontrará que hay al menos dos capas de embalaje. Este tipo de capa también se puede agregar con múltiples capas, lo que hace imposible que el software antivirus pueda leerlo. Si ve las palabras desecante, tóxico, etc. escritas en la bolsa de embalaje, es posible que no le interese. Se trata de una carcasa de camuflaje que se disfraza de otras, lo que interfiere con la detección normal del software antivirus.
2. Cambio de shell
El cambio de shell es uno de los métodos más utilizados para evitar la eliminación de virus. El principio del cambio de shell es utilizar archivos troyanos para agregar shell upx o. otros shells Finalmente, use lordpe para agregar 1 a la entrada del archivo, luego elimine todos los caracteres en esta sección y luego use ood para abrir el troyano para evitar que se eliminen algunos códigos dentro de los 100 caracteres por encima y por debajo de la entrada. para que el software antivirus no pueda descubrir qué shell es. Puedes lograr el propósito de evitar matar sin saber cómo quitar ningún caparazón. Esta tecnología solo puede ser dominada por aquellos que estén familiarizados con el lenguaje ensamblador. Se puede decir que este método eficiente para evitar matar es un soplo de aire fresco entre muchos. Matanzas suaves y también es apta para los amantes de la matanza. Una técnica que conviene aprender.
3. Agregar instrucciones
Agregar es un método común para evitar la destrucción de virus. Su principio es usar instrucciones de adición (algunas instrucciones basura, escriba más 1 y menos 1, etc.). son inútiles). Declaración) hace que el software antivirus no pueda detectar las características del código e interfiere con la detección normal del software antivirus. Después de la guinda del pastel, algunos programas antivirus no detectarán el virus, pero algunos programas con potentes capacidades antivirus sí lo detectarán. Se puede decir que esta es la tecnología "libre de muertes" más rudimentaria.
4. Cambie el punto de entrada del programa
5. Cinco métodos comunes para cambiar el código de función de los archivos troyanos (consulte "Modificación del código de función de la memoria" para obtener más detalles)
6. Existen varias otras técnicas de modificación gratuitas
Modificar el código de función de memoria:
1. Modificar directamente el método del código de función hexadecimal
2. caracteres Método de caso de cadena
3. Método de sustitución equivalente
4. Método de intercambio de secuencia de comandos
5. Método de salto universal
Resumen: Se puede decir que la matanza gratuita es, hasta cierto punto, lo opuesto al software antivirus. Esta tecnología se actualiza con la actualización del software antivirus.
Desde la matanza superficial inicial hasta la defensa actual del comportamiento troyano (. Rising), antivirus de archivos en tiempo real (Kingsoft), etc.
La tecnología antivirus dibuja estas analogías. Podemos ver que cada vez que el software antivirus agrega algunas funciones nuevas, aparece un nuevo antivirus. nacerá la tecnología antivirus
Como dice un viejo refrán, la tecnología antivirus viene con el software antivirus.
¡Al comprender el método de matanza libre, disfrutarás del feliz paraíso del montaje y desmontaje!
Compruébalo tú mismo, soy yo otra vez.