绝技五:用VC++加了花指令后入口点下移法 操作过程:加花指令后,可以把入口点下移好一位,这样可以进一步达到免杀效果. 一.木马免杀综合方案 修改内存特征码--->1>入口点加1免杀法 1>加压缩壳1>--->再加壳或多重加壳 2>变化入口地址免杀法 2>加生僻壳--->2>加壳的伪装. 3>加花指令法免杀法 3>加压缩壳3>--->打乱壳的头文件 4>修改文件特征码免杀法 以上免杀方法可以自由组合成多种不同的免杀方案。 二.常用免杀方案 1.实例完全免杀方案一: 内存特征码修改+加UPX壳+秘密行动打乱壳的头文件。 所需工具:UPX加壳工具,秘密行动 2.完全免杀方案二: 内存特征码修改+加花指令+加压缩壳 3.完全免杀方案三: 内存特征码修改+加压缩壳+加壳的伪装或多重加壳 4.完全免杀方案四: 内存特征码修改+去头变换入口点地址+压缩壳 5.完全免杀方案五: 内存特征码修改+修改各种杀毒软件特征码+压缩壳 6.完全变态免杀方案六: 内存特征码修改+加花指令+去头变换入口点+加UPX壳+用秘密行动打乱壳的头 文件 三.解决加花指令后运行出错问题 1.分析其原因:我们加花指令时,一般都找代码段最后面的空白代码地方也就是所谓的零区域,然后把我们准备好的花指令填进去,然后一个跳转跳到入口点。但是我们木马的体积比较大,从入口点到最后面零区域的间隔比较远,所以从低部跳到头部由于间隔较远就非常容易出错。 3.新研究的免杀方法完美的解决了该问题:我把它取名为:中间过渡跳转法 实例演示:中间过渡跳转法来修改灰鸽子V1.22版或VIP2.0版。 中间过渡中转法实现原理:首先我们在代码段的中间位置,备份部分代码,然后把我们要添加的花指令写进去,写完后,再跳到零区域,在这个零区域填入刚才我们备份好的代码.填完后又要跳回填入花指令的生面.总之一句话:把花指令填在代码中间,被花指令覆盖的代码移到零区域去执行,然后又要跳回来.最后把入口点改成花指令的首地址.这样就算完事了. 4.该新的免杀技术优点:以前的花指令只能填到零区域,也就是说入口点一般都比较后面,所以有时会被卡巴查杀,但有了这种新方法后,程序入口点就变的非常灵活,可以定位在代码段的任何位置,每定位一个新的入口点就是一种新的免杀方案.而且这种方法对付卡巴也很有效.把入口点放到代码段的中间,是杀毒软件万万想不到的,所以免杀效果是最好的.同时他解决了由于跳转太远使程序无运行的缺点,所以这种方法是相当完美的免杀方法.希望大家灵活运用! |
传奇一条龙 传奇一条龙服务 传奇开区一条龙 传奇私服一条龙 信誉传奇一条龙
|