各种杀毒中除了卡巴6的主动防御就是NOD32最难过了,首先定位它的特征码很困难,我摸索了很久才有一点点心得,一般它会在文件偏移100处定义为特征码,因为如果是填0定位的话,100处是PE头,填了0就不是有效的PE文件,别的特征码也就检测不出来,而你修改了100处,也就是整体移动PE头后,还是会报毒,因为它还有别的特征码,这个也是想了很久才想到的,一直不明白为什么定位出了1个地方,改了还是能查出来。别的特征码一般在输入输出表里,为了改这些,我去看雪看了N久的PE文件结构,终于理解了输入输出表这一块,也就不难修改了,最难的是定位在section table里的,比如定位在文件偏移204处,我一直没有找到关于节表修改的文章,看PE结构也看不明白,在此讨教管理员和各位斑竹了……
PS:卡巴6的主动防御除了改插svchost.exe和通过批处理修改系统时间有没有别的可行办法过掉?
希望各位能共享信息不要藏着,共同进步,尽量给出一些技术性的回复,谢谢了。
补充:
有人回帖说加两次北斗壳就过NOD32了,首先谢谢你的回复,这个我当然知道,但加两次北斗也只是有可能过NOD,我测试过,也有很大可能还是被杀,而且加2次北斗以后再用金山,卡巴,江民等等查一遍,会发现刚刚免杀的又被杀了,因为这些杀毒还定义了加壳后的特征码,特别是金山,没有脱壳查杀机制,只能多定义些特征码。
我现在做的免杀鸽子2.03是导入键盘记录插件的,插件和文件都过金山,卡巴,瑞星,江民,诺顿,麦咖啡,NOD32,ewido(AVG),绿鹰PC万能精灵和木马杀客
灰鸽子专杀的所有表面内存查杀方式
至于卡巴6的主动防御,我的免杀在运行和查看肉鸡磁盘,
进程等等时候都是没问题的,但是连接Telnet的时候卡巴6会提示IE要运行backdoor shell,这是个缺陷,我猜测是连接telnet的时候调用了某个函数,被卡巴6认为是危险的函数,是后门shell用的(幽游注:纯粹个人猜测),除了telnet,别的截屏等等功能都不报警。当然,卡巴6是默认安装的,如果选了注册表防护里的所有项,注册成服务的时候会被发现,过不了。
还有瑞星的灰鸽子专杀也能干掉我的免杀,不过这个很好过,在配置的时候选的是插入IE,隐藏进程,插入后停止服务,只要把隐藏进程不选就不杀了。
总结下:现在还有两个问题待解决:
1、如何修改section table
2、如何在连接telnet的时候不让卡巴6发现,当然不能关了监控,也不能修改系统时间,寻求另外的方法,有好的建议尽管提!
我知道的都说了,大家也不要给我发消息要免杀的服务端,我只会授以渔,因为信息就应该共享,但做好的免杀是我的劳动成果,我不会给的!想要的还是去看看我发的帖子,自己多学学吧……谁装有我说的10种杀毒以外的杀毒的可以PM我,帮我查下是否被杀,谢谢
更多内容请关注 幽游' Home 幽月轩
http://www.0x08.com
