Red de conocimiento informático - Conocimiento del nombre de dominio - ¿Cómo aprender a evitar matar?

¿Cómo aprender a evitar matar?

Clasificación de tecnologías antivirus 1. Tecnología antivirus de código abierto: se refiere al método de tecnología antivirus modificando el código fuente bajo la premisa de que el código fuente de virus y troyanos está disponible.

2. Antivirus manual: se refiere a antivirus cuando sólo hay archivos ejecutables de virus y troyanos (archivos PE). [Edite este párrafo] 5. Cómo comprender y aprender técnicas anti-matanza. Actualmente, hay dos libros en China que presentan técnicas anti-matanza de piratas informáticos: "Introducción al Hacking Anti-killing" y "Mastering Hacking Anti-killing".

"Introducción al pirateo para evitar matar" se publicó recientemente, pero su introducción de contenido es más detallada y su explicación de contenido es más completa y profunda.

"Introducción al antivirus para hackers" se publicó anteriormente, por lo que no hay una introducción detallada a la tecnología antivirus. Sin embargo, el CD que lo acompaña viene con cientos de megabytes de videos de operación, lo cual es poco común. recurso. [Edite este párrafo] 6. Manual de descripción general de la tecnología antivirus Clasificación de antivirus:

1 Antivirus e inspección de archivos: cuando el programa no se esté ejecutando, utilice software antivirus para escanear el programa. y obtener los resultados.

2. Verificación de memoria libre: método de evaluación 1gt; función de verificación de memoria después de ejecutar el software antivirus.

2gt; Cargue con OD y use la función de verificación de memoria del software antivirus.

Qué es un código de firma:

1. Significado: una cadena de firma de no más de 64 bytes, utilizada para identificar un programa como virus.

2. Para reducir la tasa de falsas alarmas, generalmente el software antivirus extraerá algunas cadenas de características. En este momento, a menudo podemos lograr el efecto de no detectar y eliminar cambiando solo un punto. Por supuesto, algunos programas antivirus requieren múltiples modificaciones al mismo tiempo para evitar la detección. (Estos métodos se presentarán en detalle más adelante)

3. El siguiente es un diagrama esquemático para comprender el concepto específico de firma

El posicionamiento y el principio de la firma:

1. Cómo buscar códigos de característica: reemplace el código de característica en el archivo, es decir, los datos que completamos (como 0), con el código de característica del software antivirus.

La alarma del software no podrá determinar la ubicación del código de característica mediante este método

2.. El principio de funcionamiento del localizador de firmas: reemplace algunos bytes en el archivo original con 0, luego genere un nuevo archivo y luego determine la ubicación de la firma en estos archivos según los resultados de la detección del software antivirus.

Comprenda las herramientas de modificación y posicionamiento del código de firma:

1. CCL (Localizador de código de patrón)

2.OllyDbg (Modificador de código de patrón)

3.OC (utilizado para calcular la dirección de memoria del gadget a partir de la dirección del archivo)

4.UltaEdit-32 (usado para calcular desde la dirección del archivo hasta la dirección de memoria del gadget)

5.OllyDbg (usado para calcular desde la dirección del archivo hasta la dirección de memoria del gadget)

6.UltaEdit-32 (editor hexadecimal, utilizado para posicionamiento preciso manual o modificación de códigos de característica)

Método de modificación del código de característica:

Las modificaciones del código de característica incluyen modificaciones de firma de archivos y modificaciones de firma de memoria. Por lo tanto, daremos una introducción general a los métodos actualmente populares para modificar el código de función.

Método 1: Modifique directamente el método hexadecimal del código de característica

1 Método de modificación: Cambie el número hexadecimal correspondiente al código de característica a un número con una diferencia de 1 o más. o 1 o menos en hexadecimal.

2. Ámbito de aplicación: asegúrese de ubicar con precisión el hexadecimal correspondiente al código de característica y pruebe si se puede usar normalmente después de la modificación.

Método 2: Modificar el caso de las cadenas

1. Método de modificación: el contenido del código de característica correspondiente es una cadena, siempre que los tamaños se intercambien.

2. Ámbito de aplicación: el contenido correspondiente al código de característica debe ser una cadena; de lo contrario, no tendrá éxito.

Método 3: Método de sustitución equivalente

1. Método de modificación: Reemplace el comando de instrucción de ensamblaje correspondiente al código de característica con una instrucción con función similar.

2. Ámbito de aplicación: Los códigos de característica deben tener instrucciones de montaje de reemplazo. Por ejemplo, JN y JNE pueden sustituirse por JMP.

Si no estás tan familiarizado con el montaje como yo, consulta el Manual de montaje del 8080.

Método 4: Método de intercambio de secuencia de instrucciones

1. Método de modificación: intercambie el orden de los códigos y los códigos de características.

2. Ámbito de aplicación: existen ciertas restricciones. El reemplazo de código no debería afectar la ejecución normal del programa.

Método 5: método de salto general

1. Método de modificación: mueva el código de característica al área cero (refiriéndose al espacio en el código) y luego use JMP para volver a la ejecución.

2. Ámbito de aplicación: Sin condiciones, es una modificación general. Se recomienda encarecidamente que todos dominen este método de modificación.

Método de modificación integral gratuito para el caballo de Troya:

Método de archivo gratuito:

1. Agregar shell frío

Por ejemplo, si el Si el programa es Pancakes, entonces el caparazón es la bolsa, por lo que no puedes saber qué hay en la bolsa. Generalmente, los shells más utilizados son fáciles de identificar mediante el software antivirus, por lo que a veces se utilizan en shells oscuros, es decir, shells que no se utilizan habitualmente. Si va a comprar chicle ahora, encontrará que hay al menos dos capas de embalaje. Este tipo de capa también se puede agregar con múltiples capas, lo que hace imposible que el software antivirus pueda leerlo. Si ve las palabras desecante, tóxico, etc. escritas en la bolsa de embalaje, es posible que no le interese. Es una carcasa de camuflaje que se disfraza de otras, lo que interfiere con la detección normal del software antivirus.

2. Agregar instrucciones

Agregar es un método de eliminación sin virus comúnmente utilizado por el software antivirus. El principio de agregar es mediante la adición de instrucciones (algunas instrucciones basura, escriba agregar 1). menos 1 y otras declaraciones inútiles) hacen que el software antivirus no pueda detectar las características del código e interfieren con la detección normal del software antivirus. Después de agregar el costo, algunos programas antivirus no podrán detectar el virus, pero algunos programas antivirus más potentes, como el software antivirus de Jiangmin, sí podrán detectar el virus. Se puede decir que esta es la etapa más básica de la tecnología "libre de muertes".

3. Cambie el punto de entrada del programa

4. Cinco métodos comunes para cambiar el código de función de los archivos troyanos (consulte "Modificación del código de función de la memoria" para obtener más detalles)

5. Existen otras técnicas de modificación gratuitas

Modificar el código de función de memoria:

1. Modificar directamente el método del código de función hexadecimal

2. caracteres Método de caso de cadena

3. Método de sustitución equivalente

4. Método de cambio de secuencia de comandos

5.