标题:
[讨论]一个在修改特征码时遇到的奇怪问题
[打印本页]
作者:
2000gaobo
时间:
2008-7-23 08:35
标题:
[讨论]一个在修改特征码时遇到的奇怪问题
[讨论]一个在修改特征码时遇到的奇怪问题
文章作者:hunterx
信息来源:邪恶八进制信息安全团队(
www.eviloctal.com
)
昨天改了下随意门的特征码。先用multiCcL定位,结果:0000A519_0000A520(卡吧的),用OC转了下:1000B119_1000B120。在用OD加载木马,来到1000B119,NOP掉这一句,再测试,免杀了。后来用跳转发进行修改,发现无论如何都不能免杀。
后来用MYCLL定位,结果0000A520_0000A524,还是老方法,NOP掉1000B11C这句,发现也是免杀的。跳转法修改,发现免杀了。也能成功运行。
两句特征码是紧靠在一起的。
multiCcL定的是:1000B119
MYCCL定的是: 1000B11C (它们之间中间只隔了2句)
实践证明先我用multiCcL定位的结果是有误的。可是NOP掉用multiCcL定位出的那句依然可以免杀,这是为什么呢?
再问下另外一个问题,今天早上起来发现我的OllyDBG在加载文件时出现“模块"KB896475"入口点超出代码范围的错误”加任何文件都一样。这样我在加载后就跳不到指定的特征码地址,总说超出范围。先我以为是OllyDBG的错误,去网上下了一个新的,错误依然。我昨晚还用的好好的啊……
帖子10 精华
0
积分34 阅读权限40 性别男 在线时间5 小时 注册时间2006-8-17 最后登录2007-11-17
查看详细资料
TOP
软件项目外包
幽游
荣誉会员
作者:
粟米
时间:
2008-7-23 08:35
一般说来,找到明确的特征码地址跳转是肯定可以的,杀毒不杀不一定是特征码被修改掉了,NOP可能破坏了PE结构,这样卡巴也是不杀的,你的具体情况不清楚,最好写明白点再来问知我者谓我心忧不知我者谓我何求悠悠苍天此何人哉
帖子24 精华
2
积分3081 阅读权限100 性别男 在线时间324 小时 注册时间2006-3-3 最后登录2008-7-15
查看详细资料
TOP
让女孩一夜变的更有女人味
幽游
荣誉会员
作者:
东莞大岭山
时间:
2008-7-23 08:35
你把木马文件发上来,把你定位的特征码位置写好,我帮你看看知我者谓我心忧不知我者谓我何求悠悠苍天此何人哉
帖子24 精华
2
积分3081 阅读权限100 性别男 在线时间324 小时 注册时间2006-3-3 最后登录2008-7-15
查看详细资料
TOP
您知道您年薪应是多少?
hunterx
晶莹剔透§烈日灼然
作者:
飞天小猪
时间:
2008-7-23 08:35
我已经改好了,免杀了
谢谢你了
我的帖子是说“为什么NOP掉错误的特征码也可以免杀”,可能没说清楚,不好意思拉。
NOP掉错误的免杀只是因为破坏了PE结构?还有什么其他可能吗?
再问下大家现在都用什么软件来定位特征码?
我用的是MYCLL和multiCCL
帖子10 精华
0
积分34 阅读权限40 性别男 在线时间5 小时 注册时间2006-8-17 最后登录2007-11-17
查看详细资料
TOP
wwnnww
晶莹剔透§烈日灼然
作者:
柯西部长
时间:
2008-7-23 08:35
也可能是杀毒软件有追踪的功能吧,你把multiccl定位出的特征码用跳转法修改后,被追踪了。
帖子1 精华
0
积分6 阅读权限40 在线时间0 小时 注册时间2008-1-23 最后登录2008-3-3
查看详细资料
TOP
软件项目外包
xxfish
荣誉会员
作者:
三人
时间:
2008-7-23 08:35
正常... multiccl 是随机字符串填充,mycll是特定字符串进行填充。定位出来有偏差正常。很多时候并不是定位在一个特定的位置就一定要修改这个位置,杀软的匹配没有那么精确,并且它也不可能去那样匹配,因为这要考虑到系统的资源占用率和扫描时间。 比如卡巴就喜欢定位在一子程序,所以只需要修改子程序的任何一处汇编指令,打乱子程序间接打乱匹配规则,也就免杀。。 更多的技巧需要在于个人去挖掘。。
提示入口点超出范围,一般加区加花后会提示,因为你在区段偏移太靠前,往后面移动下就行了。。
帖子31 精华
0
积分3128 阅读权限100 在线时间57 小时 注册时间2008-1-3 最后登录2008-7-20
查看详细资料
TOP
良辰择日,预测咨询,公司改名,权威易经
监狱
晶莹剔透§烈日灼然
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./)
Powered by Discuz! 7.2