欢迎转载技术文章:PE类:EXE. dll
1.脱壳解密
脱壳在木马免杀中由为重要!。。所以希望大家好好学习脱壳
脱壳的好坏直接影响到木马免杀效果(如果不完全脱壳,在<定位内存特征码>可能会使定位中没发现特征码但是运行中又发现木马。)
2.定位特征码
一般从大范围定位后逐渐缩小范围(字节型)
(个数型)一般从生成100个数的大致定位特征码后转入字节型定位。
单一文件特征码定位:CLL MYCLL multiCCL复合文件特征码定位:MYCLL multiCCL
内存特征码定位: OD(一半一半定位) MYCLL multiCCL [一般都要确定你的文件是否完美完全脱壳后在进行文件特征码定位]
3.特征码修改
简单的等效代码转换如下:(不过有时改后也损坏文件所以看情况)push 变 pop je 变 jnzadd 变 sub add ecx,2 可以改为 sub ecx,-2加ecx内存器+2 减ecx内存器-2 - -2得=2
上面的等效代码用不了还是乖乖用,JMP跳转法把特征码转移
*******************************************************网页木马类: JS html htm asp 等
1.拆分变量。
用&连接符号,拆分变量
2.加入垃圾代码。和PE免杀花指令差不多
3.等值代码修改<html></html>
<htm></htm>
把html全部改htm 效果一样
4.代码添零在记事本中加入空格,然后用16进制的编辑器(Uedit32)打开把 空格对应(20)替换成(00) 即可该方法运用广泛。使用简单!!推荐 呵呵
5.编码加密(工具见附件)
6.使用变量(赋值语句)
变量名 = 函数或者语句
然后用的时候直接写变量名
(这类应用需要琢磨一下,比较容易出错特别是对 语言不熟悉的 建议看些书或者相关知识在弄)
1.脱壳解密
脱壳在木马免杀中由为重要!。。所以希望大家好好学习脱壳
脱壳的好坏直接影响到木马免杀效果(如果不完全脱壳,在<定位内存特征码>可能会使定位中没发现特征码但是运行中又发现木马。)
2.定位特征码
一般从大范围定位后逐渐缩小范围(字节型)
(个数型)一般从生成100个数的大致定位特征码后转入字节型定位。
单一文件特征码定位:CLL MYCLL multiCCL复合文件特征码定位:MYCLL multiCCL
内存特征码定位: OD(一半一半定位) MYCLL multiCCL [一般都要确定你的文件是否完美完全脱壳后在进行文件特征码定位]
3.特征码修改
简单的等效代码转换如下:(不过有时改后也损坏文件所以看情况)push 变 pop je 变 jnzadd 变 sub add ecx,2 可以改为 sub ecx,-2加ecx内存器+2 减ecx内存器-2 - -2得=2
上面的等效代码用不了还是乖乖用,JMP跳转法把特征码转移
*******************************************************网页木马类: JS html htm asp 等
1.拆分变量。
用&连接符号,拆分变量
2.加入垃圾代码。和PE免杀花指令差不多
3.等值代码修改<html></html>
<htm></htm>
把html全部改htm 效果一样
4.代码添零在记事本中加入空格,然后用16进制的编辑器(Uedit32)打开把 空格对应(20)替换成(00) 即可该方法运用广泛。使用简单!!推荐 呵呵
5.编码加密(工具见附件)
6.使用变量(赋值语句)
变量名 = 函数或者语句
然后用的时候直接写变量名
(这类应用需要琢磨一下,比较容易出错特别是对 语言不熟悉的 建议看些书或者相关知识在弄)
