|
|
楼主 |
发表于 2008-11-27 09:50:40
|
显示全部楼层
|阅读模式
来自 江苏省无锡市
以前发了一个免杀帖子,想给会员做个全免杀黑防鸽子,但是考虑到特征码过多,群里没有人跟我合作。一个人全部该完,肯定不太现实。
如果加壳的话,就无法生成,需要一个个的做,我也没有这么多时间.
我在这里给大家一个永久免杀的思路吧,其实所谓的该特征,根本不是很现实的,免杀肯定不长久,你该特征,别人也肯定想得到。你不公布,别人确不小心公布
我们所需要做的就是,内存该特征,然后加一个壳,做到全免杀,这里该壳,大家不要用MYCLL定位,MYCCL,确实是一个好东西,但是,现在过时了。因为杀软,已经在各种网络上公布的壳,提取了它的壳特征码,
也就是,一个全该特征的免杀木马,如果你再加一个壳,又会被杀,而正常文件不会被杀,这是为什么呢?那是因为,杀软提取了壳特征码,而比较简单的壳,根本不用提取,杀软会直接把它脱掉,我们可能看到,有的杀软查杀木马,它什么壳,都给你报出来了,那么,显然就是杀软,它会脱这个壳。
终极免杀思路:先该内存特征,然后在一个壳中全免杀木马,让这个壳变异,使得杀毒无法脱掉他。然后方法不要公布出去。做完免杀,在壳反复修改,使得别人无法学走你的免杀方法,可以该PE头反调试,黑天使老师的免杀教程十三课(忘记了,也可能不是十三)中有这个办法。这样,没学过破解的绝对无法查看你的方法,而高手,肯定不会那么无聊,我们可以通过多次加壳加密的办法达到。
大家该壳的时候给大家提醒一下:一定要达到堆栈平衡,不然,你是无法运行的,比如,你把pushadNOP掉了,那么,一定要在壳中找到popadNOP掉,不然肯定无法运行。因为壳从前面到后面,终究是会达到堆栈平衡的。。。。
关于黑防鸽子定位卡巴跟瑞星,,是无法通过MACCL定位的,定位,在这里也是一个难点。我的定位方法过于复杂,所以用文字不好表达,建议大家一个区段一个区段定位,这个办法我没试过,不过,我估计能够定位出来。 |
|
发表于 2008-11-27 21:58:03
