¿Cómo aprender a evitar matar?
Clasificación de tecnologías antivirus 1. Tecnología antivirus de código abierto: se refiere al método de evitar el software antivirus modificando el código fuente bajo la premisa de que existen virus y códigos fuente de caballos de Troya.
2. Antivirus manual: se refiere a antivirus cuando sólo existen archivos ejecutables (archivos PE) de virus y troyanos. [Edite este párrafo] 5. Cómo comprender y aprender técnicas anti-matanza. Actualmente, hay dos libros en China que presentan técnicas anti-matanza para hackers: "Introducción a los hackers anti-matanza" y "Dominar a los hackers anti-matanza". .
"Introducción al Hacking para evitar matar" se publicó recientemente, pero su introducción es más detallada y el contenido se explica de manera más completa y profunda.
"Dominar a los piratas informáticos para evitar el antivirus" se publicó anteriormente, por lo que la introducción a la tecnología antivirus no es muy detallada. Sin embargo, el CD que viene contiene varios cientos de megabytes de videos de operación, que. es un recurso raro y valioso. [Edite este párrafo] 6. Descripción general de la tecnología antivirus Clasificación manual de antivirus:
1. Antivirus y antivirus de archivos: escanee el programa con software antivirus sin ejecutar el programa. y obtener los resultados.
2. Evitación y eliminación de memoria: método de juicio 1gt; después de ejecutar, use la función de escaneo y eliminación de memoria del software antivirus.
2gt; antivirus La función de escaneo y eliminación de memoria del software.
¿Qué es un código de firma?
Significado: una cadena de firma de no más de 64 bytes que puede identificar un. programa como un virus.
p>2. Para reducir la tasa de falsas alarmas, generalmente el software antivirus extraerá múltiples cadenas de características. En este momento, a menudo podemos lograr el efecto antivirus. cambiar solo una parte Por supuesto, algunos programas antivirus requieren ambas. Debes cambiar algunas cosas para evitar que te eliminen (estos métodos se presentarán en detalle más adelante)
3. diagrama para comprender el concepto específico de la firma
El posicionamiento y el principio de la firma:
1. Cómo buscar códigos de firma: si el código de firma en el archivo se reemplaza por los datos que completamos (como 0), entonces el software antivirus
no emitirá la alarma. Utilice esto para determinar la ubicación de la firma
2. el localizador de firmas: reemplace algunos bytes en el archivo original con 0, luego genere un nuevo archivo y luego elimine el virus según el virus
Software para detectar los resultados de estos archivos para determinar la ubicación del firma
Herramientas para comprender el posicionamiento y modificación de la firma:
1 CCL (Localizador de código de firma)
2.OllyDbg (modificación de firma)
3.OC (una pequeña herramienta utilizada para calcular desde la dirección del archivo hasta la dirección de la memoria)
4.UltaEdit-32 (editor de sistema hexadecimal, utilizado para el posicionamiento manual preciso o la modificación de códigos de características)
Método de modificación del código de característica:
La modificación del código de característica incluye la modificación del código de característica del archivo y la modificación del código de característica de la memoria, porque estos dos métodos para modificar los códigos de característica
son comunes. Así que hagamos una sección general sobre los métodos de modificación de firmas más populares actualmente.
Método 1: Modificar directamente el método hexadecimal del código de característica
1 Método de modificación: Cambiar el número hexadecimal correspondiente al código de característica a uno con una diferencia numérica de 1 o similar. Hexadecimal.
2. Ámbito de aplicación: asegúrese de ubicar con precisión el hexadecimal correspondiente al código de característica. Después de la modificación, asegúrese de probar si se puede utilizar
normalmente. /p>
Método 2: Modificar el uso de mayúsculas en las cadenas
1. Método de modificación: convertir el contenido correspondiente al código de característica en una cadena, simplemente intercambie los caracteres superiores e inferiores.
2. Ámbito de aplicación: el contenido correspondiente al código de característica debe ser una cadena; de lo contrario, no tendrá éxito.
Método 3: Método de sustitución equivalente
1. : Reemplace las instrucciones de ensamblaje correspondientes al código de característica con instrucciones con funciones similares.
2. Ámbito de aplicación: Debe haber instrucciones de ensamblaje reemplazables en el código de característica. Por ejemplo, JN, JNE deben reemplazarse por. JMP Espera.
Si eres como yo y no entiendes el ensamblaje, puedes consultar el manual de ensamblaje del 8080
Método 4: método de intercambio de secuencia de instrucciones
2 Ámbito de aplicación: tiene ciertas limitaciones después del intercambio de códigos, no debe afectar la ejecución normal del programa.
Método cinco: método de salto universal
1. Método de modificación: mueva el código de característica al área cero (refiriéndose al espacio en el código) y luego regrese a un JMP para su ejecución.
2. Ámbito de aplicación: no hay condiciones, es un método de modificación general. Se recomienda encarecidamente que todos dominen este método de modificación.
Método de modificación integral para evitar troyanos. -virus:
Método para evitar el antivirus en archivos:
1. Agregar un shell frío
Por ejemplo, si el programa es un pancake, entonces la cáscara es la bolsa de embalaje, lo que impide descubrir lo que hay en la bolsa de embalaje. Los shells más comunes son generalmente fáciles de identificar mediante el software antivirus, por lo que a veces se utilizan shells poco comunes para empaquetar, es decir, shells que no se usan comúnmente. Si va a comprar chicle ahora, encontrará que hay al menos dos capas de embalaje, por lo que la cubierta también se puede agregar con varias cubiertas, lo que dificulta la comprensión del software antivirus. Si ve una bolsa con palabras como desecante y veneno escritas, es posible que no le interese. Se trata de un caparazón de camuflaje, que disfraza un caparazón como otro e interfiere con la detección normal del software antivirus.
2. Agregar instrucciones
Agregar es un método comúnmente utilizado para evitar la eliminación de virus. El principio de agregar es agregar instrucciones (algunas instrucciones basura, el tipo es más 1 menos 1). . Declaraciones inútiles de la clase) impiden que el software antivirus detecte la firma e interfieren con la detección normal del software antivirus. Después de agregar el costo, algunos programas antivirus no podrán detectarlo, pero algunos programas antivirus más potentes, como el software antivirus de Jiangmin, aún eliminarán el virus. Esta puede considerarse como la etapa más elemental de la tecnología "libre de muertes".
3. Cambiar el punto de entrada del programa
4. Cinco métodos comunes para cambiar las firmas de archivos troyanos (consulte "Modificación de firmas de memoria")
5. otras técnicas de modificación antivirus
Modificar el código de función de memoria:
1. Modificar directamente el método hexadecimal del código de función
2.
3. Método de sustitución equivalente
4. Método de intercambio de secuencia de instrucciones
5.