邪恶八进制信息安全团队技术讨论组 » 技术讨论{ Technique Discussions } » [讨论]AVG免杀的问题 [查看完整版本]

sniper 2007-6-1 16:20

[讨论]AVG免杀的问题

议题作者：sniper
信息来源：邪恶八进制信息安全团队（[url]www.eviloctal.com[/url]）


avg anti-spyware,这鸟东西，说技术含量，真的很垃圾。但是免杀却很不好做，有几个小工具被这破东西杀了，想做免杀，貌似一般加下壳什么的都没什么用的。不知道大家有什么好方法过这个破软件没有

hackloves 2007-6-1 18:10

那东西没用过,我一般都是找一段空代码处,把入口点向下的几行复制下来,然后nop掉,用移花接木~~.
实在不行就MYCCL定位特征码,修改的时候无非就是sub ebx,1改成add ebx,-1,调换指令顺序等等..

silenter 2007-6-2 10:01

如果是免杀黑防的鸽子 只要定位出来的特征码全部填0就可以了

haoshu 2007-6-3 13:51

[quote]如果是免杀黑防的鸽子 只要定位出来的特征码全部填0就可以了[/quote]
简直是胡说

黄少 2007-6-4 13:10

如果是免杀黑防的鸽子 只要定位出来的特征码全部填0就可以了
这确实是免杀了，但不就是成了个废物吗？

jinhaian 2007-6-4 16:41

avg使用了内存查杀技术，加壳是过不了的。但是它的文件特征码和内存特征码是同一个特征码，一般定位在call xxxxxxxx,一个jmp就可以搞定。

sniper 2007-6-4 20:18

楼上什么意思？我没怎么明白
你的意思是说，通过花指令一类的东西来过AVG？
另外，PS下，前段时间我在QQ上也问了不少人，很多人不知道AVG是什么。。。。
AVG=avg anti-spyware

亦正亦邪 2007-6-4 22:05

5楼的意思是不是移位置吧.

不是太熟悉AVG,特征码定位在call这点似乎跟金山相似.

jinhaian 2007-6-7 15:59

[quote]引用第6楼sniper于2007-06-04 20:18发表的 :
楼上什么意思？我没怎么明白
你的意思是说，通过花指令一类的东西来过AVG？
另外，PS下，前段时间我在QQ上也问了不少人，很多人不知道AVG是什么。。。。
AVG=avg anti-spyware[/quote]

用跳转法修改特征码。

faladay 2007-6-7 16:15

[quote]引用第2楼silenter于2007-06-02 10:01发表的 :
如果是免杀黑防的鸽子 只要定位出来的特征码全部填0就可以了[/quote]
干脆把程序删掉，一了百了呀
特征码改0，程序还能运行？？

kk11440 2007-6-21 14:20

全部改为0肯定就不能运行了````````那个菜鸟的做法

a-new 2007-6-22 10:27

定位特征码貌似很简单的，最BT的是NOD

5305277 2007-6-24 21:20

AVG其实很好过，随便加一个压缩壳再资源释放重建下再用ASProtect 加密下
AVG决对杀不了

silenceshell 2007-6-25 07:35

MYCCL还是不错！

网络幽灵 2007-6-25 10:20

AVG 这个杀毒软件我不太熟悉
但是免杀 比较麻烦 也应该是比较好的方法是定位特征码 （个人意见）
特征码定位出来了
就看着改了 不改变程序流程即可

NOD比较BT 特征码为输入输出表
定位出来了也很难改

tianjishu596 2007-6-25 11:56

AVG最近搞的比较多，没什么好说的，定位的字符都很少，一般几字节，用MYCCL定位后用C32ASM改下就可以，一般是填00，遇到字符特征码比较多。不过有些地方可以等价替换。如果你用鸽子守望那定位出来就比较多，改的也比较麻烦了。

gghpop 2007-7-4 08:37

AVG其实很好过，随便加一个压缩壳再资源释放重建下再用ASProtect 加密下
AVG决对杀不了

orola 2007-7-12 15:09

特征码换0不一定就不能用了，不过成功机会渺茫，可以ADD和sub互换

silenter 2007-7-12 22:07

[quote]引用第4楼黄少于2007-06-04 13:10发表的 :
如果是免杀黑防的鸽子 只要定位出来的特征码全部填0就可以了
这确实是免杀了，但不就是成了个废物吗？[/quote]

好久没看这个了 但是我做黑防鸽子免杀 全部填0后确实是可以上限 并且棉纱 现在不知道了 如果不相信可以用没怎么生机的 测试下 [s:270][s:270]

少数派 2007-7-13 00:36

看到很多人不知道这个AVG杀毒软件我在百度找了这个  该公司(Grisoft)来自捷克，自1992年成立以来，已有着十几年杀毒软件开发的经验，它的安全产品广泛地被欧美以及大洋洲地区使用。它得到了ICA实验室认证并已获2005年Virus bulletin的VB100%奖（即百分百查杀Virus bulletin公布的病毒库，国际上只有少数几家反病毒厂商获此殊荣）。
本人用了，不好用，老是杀错，把我的千千静听干掉。

honkercn 2007-7-13 01:41

[quote]引用第0楼sniper于2007-06-01 16:20发表的 [讨论]AVG免杀的问题 :
议题作者：sniper
信息来源：邪恶八进制信息安全团队（[url]www.eviloctal.com[/url]）


avg anti-spyware,这鸟东西，说技术含量，真的很垃圾。但是免杀却很不好做，有几个小工具被这破东西杀了，想做免杀，貌似一般加下壳什么的都没什么用的。不知道大家有什么好方法过这个破软件没有[/quote]

我现在用的就是AVG。

技术含量的话，如果你开发了一个个人杀毒软件的话，

看看技术含量高不高呢？？

呵呵...小菜鸟乱说话。不要介意我哦。。。。

免杀的技术含量我觉得不太高。。。。真的...

以后多教教我哦。。。Myccl定位那个是不是很麻烦的...

有没有更好的办法，免杀的？就是把杀软弄死的....

81635631 2007-7-15 04:45

杀软垃圾只是相对而言
当然如果哪个能写出不怕杀软的蠕虫来。。。那应该够格说杀软垃圾了

免杀 代码段用smc
输入表 全去用动态搜索
定位资源什么的 就慢慢手动去改吧
一斑的前面两点做好了`` 90%都不会杀了~~

foxbase 2007-7-15 11:43

说白了还是要手动定位特征码，再用汇编改，

查看完整版本: [讨论]AVG免杀的问题

© 1999-2008 EvilOctal Security Team