|
|
大家好!今天有心情给大家写点什么!做了这么长时间的免杀了,把自己的心得体会给大家介绍下,虽然不是什么极品,希望能帮上大家!
首先给大家先介绍下木马的特征码定位!关于各种杀毒软件的杀毒原理,我就不跟大家说了,大家可以自己上网去百度下!
木马的特征码定位其实有很大的诀窍,也许有很多免杀的高手都已经领悟了,我在这把我得到的给大家发布下!
比如有些朋友做免杀的时候,定位到一个特征码的时候,往往不能修改,修改了就出现错误,比如输入表这部分,无论你怎么修改,有些杀软还是追杀这个输入表,让你只能苦恼! 这些地方牵涉到输入表的调用,我也不多说了,说白了,也就是前面有段代码能指向这个函数,你移动位置,这段代码也要修改,否则就不能运行文件!杀软就根据这段代码来杀这个函数的!对这个问题大家可以用MYCLL反向定位下!再者就是用muticll把输入表全部保护起来,定位!有些特征码还不能修改,一修改就文件破坏!
大家也可以尝试下这个方法!MYCLL反向定位,muticll保护定位!有时候用mycll和muticll定位的结果不一样!有的杀软定位的时候有有干扰码!导致mycll定位不出来,这时候我们需要用muticll来定位!总之mycll和muticll各有自己的特点!mycll定位速度比较快,能进行反向定位!muticll定位原理比较科学,能进行保护定位!
大家如果碰到有些地方的特征码无法修改可以尝试以下几个方法重新定位特征码!
1,mycll定位 填充FF。
2,mycll反向定位(对NOD有很大的修改)
3,muticll定位。
4,muticll保护定位.
以上这几种方法大家可以根据自己的情况运用,或许还有别的方法,等待别的大牛来发表吧!本人就一菜鸟,写的比较烂!希望大家不要嘲笑俺!有什么事情可以去我的博客留言!或者加我QQ!不能及时回复大家请大家谅解!
我的博客:http://www.blestboy.cn/
QQ :418****7647
BY :nelson
2008.12.28 |
|
发表于 2008-12-29 09:28:35