Cómo evitar matar

1. Cómo evitar matar agregando 1 al punto de entrada:

1. Utilice la herramienta PEditor

2. pero a veces será Kabach Kill]

3. Puntos de operación: use PEditor para abrir el programa troyano sin shell y agregue 1 al punto de entrada original

2. cambiando la dirección de entrada:

1. Herramientas utilizadas: OllyDbg, PEditor

2 Características: La operación es relativamente fácil y el efecto antivirus es mejor que agregar 1 punto. el punto de entrada.

3. Puntos de operación: use OD para cargar el programa troyano sin shell, mueva las dos primeras oraciones del punto de entrada al área cero para su ejecución y luego regrese a la tercera oración a continuación. el punto de entrada para continuar la ejecución. Finalmente use PEditor para cambiar el punto de entrada a la dirección del área cero

3. Agregar instrucciones para evitar matar:

1. OllyDbg, PEditor

2. Características: La versatilidad del software antivirus es muy buena. Después de agregar el comando de flor, básicamente puede lograr el software antivirus de una gran cantidad de software antivirus. .

3. Puntos de operación: use OD para abrir el programa troyano sin cáscara, busque el área cero y complete las instrucciones florales que preparamos.

Después de completar, regrese a la entrada. Después de guardar, use PEditor para cambiar el punto de entrada al área cero y complete las instrucciones de la flor.

4. p>

1. Herramientas utilizadas: algunos shells impopulares o herramientas que agregan un shell disfrazado, como Trojan Cai Yi, etc.

2. evitar matar no lleva mucho tiempo, es posible que te maten rápidamente y es difícil escapar de la persecución de Kabbah

3 Puntos de operación: para lograr un mejor efecto antivirus, puedes usar varios empaquetadores o. agregue un caparazón de camuflaje después de agregar el caparazón, el efecto antivirus será mejor

5 Interrumpa el archivo de encabezado o el caparazón del caparazón Agregando flores para evitar matar:

1. Herramientas utilizadas: operaciones secretas, herramienta de embalaje UPX.

2. Características: la operación también es infalible y el efecto anti-muerte también es legítimo y bueno. Especialmente para Kappa, el efecto anti-muerte. es muy bueno

3. Puntos de operación: primero, asegúrese de usar UPX para descomponer el programa troyano desencapsulado y luego use Secret Action

La función SCramble en la herramienta codifica el encabezado. archivo del shell UPX para lograr el efecto antivirus.

6. Modifique el código de función del archivo para evitar el antivirus:

1. Utilice herramientas: localizador de código de firma, OllyDbg.

2. Características: La operación es complicada y es necesario ubicar y modificar una serie de procesos, y solo para cada software antivirus, para evitar la muerte.

Para evitar múltiples software antivirus, es necesario modificar los códigos de función de varios programas antivirus, pero el efecto antivirus es bueno

[Método para modificar el código de firma]

El. La modificación de la firma incluye la modificación del código de características del archivo y la modificación del código de característica de la memoria, porque los métodos de modificación de estos dos códigos de característica son universales.

Por lo tanto, daré una sección general sobre los métodos de modificación de firmas más populares actualmente.

[Método 1: Modificar directamente el método hexadecimal del código de característica]

1 Método de modificación: Cambiar el valor hexadecimal correspondiente al código de característica a una diferencia numérica de 1 o Casi. el mismo hexadecimal.

2. Ámbito de aplicación: asegúrese de ubicar con precisión el hexadecimal correspondiente al código de característica y asegúrese de probar si se puede usar normalmente después de la modificación.

[Método 2: Modificar el uso de mayúsculas en las cadenas]

1. Método de modificación: convertir el contenido correspondiente al código de característica en una cadena, simplemente intercambie los caracteres superiores e inferiores.

2 Ámbito de aplicación: el contenido correspondiente al código de característica debe ser una cadena; de lo contrario, no tendrá éxito.

[Método 3: método de reemplazo equivalente]

1. Reemplace las instrucciones de ensamblaje correspondientes al código de característica con instrucciones con funciones similares.

2. Ámbito de aplicación: Debe haber instrucciones de ensamblaje reemplazables en el código de característica. Por ejemplo, JN, JNE deben reemplazarse por JMP. , etc. Si no entiende el ensamblaje como yo, puede consultar el manual de ensamblaje del 8080

[Método 4: método de intercambio de secuencia de instrucciones]

1. Cambiar el orden de los códigos.

2. Ámbito de aplicación: Tiene ciertas limitaciones El intercambio de códigos no debe afectar la ejecución normal del programa.

[Método 5: Método de salto universal]

1. Método de modificación: mueva el código de función al área cero (refiriéndose al espacio en el código) y luego un JMP salta hacia atrás para ejecutarse.

2. Ámbito de aplicación: Ninguno ¿Cuáles son las condiciones? Es un método de modificación común. Se recomienda encarecidamente que todos dominen este método de modificación.

Método de modificación integral para evitar el antivirus troyano

Métodos para evitar archivos antivirus: 1. Agregar shells fríos 2. Agregar instrucciones 3. Cambiar el punto de entrada del programa 4. Cinco métodos comunes para cambiar el código de característica de los archivos troyanos

5. Hay Hay varias otras técnicas de modificación de antivirus.

Siete métodos antivirus de memoria:

Modificar la firma de la memoria:

Método 1> Modificar directamente el método hexadecimal. de la firma

Método 2> Modificar los caracteres Método String case

Método 3>Método de sustitución equivalente

Método 4>Método de intercambio de secuencia de instrucciones

Método 5>Método de salto universal

Método de modificación de la entrada del shell

1. Herramientas utilizadas: compresión del shell OD

2. efecto anti-kill

3. Pasos de la operación: primero agregue un shell comprimido al troyano y luego cárguelo con OD en las primeras 15 oraciones en la entrada, NOP algunos códigos o, de manera equivalente, reemplace algunos códigos.

p>

8. Método anti-eliminación de la tabla de entrada:

[1. Método Shift]

1 Primero use lordpe para abrir el directorio e importar la tabla para encontrar la función que desea. quiero cambiar. Por ejemplo, CommandLineA

2 Escriba el valor del procesador de la función antes de la modificación. Ejemplo: 00062922

3 Abra el archivo que desea modificar en formato hexadecimal, como winhex, y luego busque el archivo. dirección de la función, por ejemplo, 00062988

4 Complete la función con 00 y muévala a una nueva dirección como 00070000

5 Guardar

6 Abrir. el archivo guardado con lordpe Abra la calculadora, seleccione hexadecimal, 00062988-00062922+00070000 y modifique el resultado del cálculo al nuevo valor de procesador.

Guardar

Nota: Fórmula -> Dirección de memoria = RAV + dirección base RAV La dirección base RAV se puede ver en LORDPE. Hay dos espacios antes del nombre de la función de la tabla de entrada, por lo que se debe restar la dirección RAV. por 2

[Segundo, modifique el método de carácter]

Hoy localizamos el código de función Drat2.9 Kabbah, que se encuentra en el formulario de entrada. (Esto no tiene sentido, ahora Kabbah básicamente elimina la tabla de entrada)

[Característica] 00025175_00000001 ZwUnmapViewOfSection Su posición de código de característica es 00 después de la función

(Empecé esta función al principio La posición se ha movido. El código de característica del archivo DAT original es 0002516A_00000001, que también es el 00 después de la función)

Inicialmente elegí C32 para mover la posición y LordPE para modificar la tabla de entrada, pero No funcionó. Más tarde intenté mover el bit del puntero OD, ¡pero todavía no funciona! CALL y JMP no se pueden cambiar

¡Descubrí que LordPE puede modificar el nombre de la función! Luego use C32 para agregar un carácter b después de la función ZwUnmapViewOfSection (puede agregar los caracteres que desee)

Dado que LordPE lee la función de la tabla de entrada, comienza desde ThunkValue y termina en 00 después de esta cadena continua.

Dado que se agrega un carácter b después de la función ZwUnmapViewOfSection, la función aquí leída por LordPE ahora es ZwUnmapViewOfSectionb

¡En este momento, elimine la b después de la función ZwUnmapViewOfSectionb! ¡Guarda el archivo y serás inmune a la amenaza!

Con esta modificación, el código hexadecimal en el archivo 00025175 no es 00, sino 62, por lo que Kabbah pasó después de modificar la función con lardPE, la función de la tabla de entrada del archivo sigue siendo ZwUnmapViewOfSection. ¡El servidor puede ejecutarse!

Experiencias para evitar antivirus:

1. Agregue área, agregue flores y luego cifre, será más fácil pasar KABA ---- como la herramienta de cifrado vmprotect.

Troyano sin cáscara --- Agregar comando, o agregar zona y agregar comando --- Cifrado --- Agregar shell comprimido --- Agregar zona y agregar comando

2. Simplemente agregue el comando kill-free El comando ya no puede pasar Kabbah. Debes agregar flores y luego comprimir el shell para lograr el efecto de evitar matar Kabbah.

Cifrado vmprotect----Agregar más flores--- --puede pasar Kabbah:

3. Agregue el comando de flor de doble capa para evitar matar - Cifrado sin KABA

4. ---Kappa o memoria libre.

5. Cifrado de doble capa (maskpE)---presurizado----puede pasar Kappa.

6.cifrado de máscara--- asppack- --Cambie el punto de entrada y agregue 1---puede pasar Kabbah

7. Máscara de cifrado----agregue flores o agregue áreas y flores (use herramientas)-----agregue compresión. shell--- Kabbah-free

8. Beidou se puede usar para presurizar las antipalomas negras dos veces y luego presionar otras conchas comprimidas para evitar matarlas.

9. , tire hacia arriba y gire Después de abrir el mouse más de 50 veces, hay un código vacío que se puede agregar y transferir.

10. Elimine el punto de entrada de transferencia del encabezado---add---encrypt ( vmprotect)---añadir compresión == Pasó todos los antivirus

11. Para lidiar con Kabbah, agregue el comando flor para evitar matar. El comando flor generalmente es ineficaz contra la superficie de Rising. se agrega el caparazón.

12. Para lidiar con la superficie de Rising: algunos negros y suaves son eliminados por la superficie de Rising después de agregar áreas y flores. Puedes hacer esto: primero presuriza la superficie de Rising, luego agrega la superficie de Rising. comando flower-killing-free para pasar Kabbah.

13. Verifique el método de eliminación de Rising Surface: 1. Agregue el shell de compresión anti-kill de la memoria Beidou. 2. Agregue la herramienta de cifrado especial de Rising Surface. Utilice la herramienta de cifrado MaskPE para cifrar el código fuente para evitar antivirus. El cartel debe conocer lenguajes de programación, como lenguaje C, lenguaje E, etc. Se puede cargar en IDA para depurarlo modificando las declaraciones del código fuente.