[讨论]启发式杀毒
信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])议题作者:81635631
是这样的.以nod32为例
1
我用灰鸽子 加上Upx壳
nod32 杀...报 鸽子
<扫描耗时两三秒>
2
把Upx壳前面的解密头nop掉一部分
nod32不杀了
耗时两三秒
3
把nop掉的部分改成
push 0 ---这里地址XXXX
jmp XXXX
构个循环
nod32报新的病毒
<扫描耗时10秒钟>
4
rdtsc
push eax
rdtsc
sub eax,[esp]
cmp eax,50...---把这个改小..改到不能正常运行还是不行nod32继续报
jmp 鸽子
nod32报鸽子
耗时两三秒
5
把上面的代码 修改..[去掉cmp]
rdtsc
push eax
rdtsc
sub eax,[esp]
jmp eax
nop
nop
......[这里控制nop的长度]
jmp 鸽子
查毒
nod32不报了
[s:289]
nod32 N自信.没有病毒库
似乎只有类似的AntiAntiDebug?由第四步和第五步得出
其它杀软
一个下载者.朋友写的.
[url]http://www.virustotal.com/zh-cn/[/url]
放这里.有四个杀.其中没有nod32..
不管他怎么这四个都杀...
我给他用上五的代码后..都不杀了.
后来增加nop的长度
Bit..??驱逐舰?这个杀软的名字?就这个杀
其它三个都还是杀..原因..我觉得是这个杀得比较快
没用过也懒得再试了..
另外
以前似乎试过用三个变形的异常也直接过了nod32...
具体不记得了..
呵呵 其实还有另外的想法.懒得写了.
[b]
不知道其它喜欢玩免杀的有什么心得.交流交流讨论讨论.Q26442262
反启发式是否和反调试一样呢?应该是一样吧.由第三步得出.但是有几次我似乎又得出了相反的结论..
内存免杀除了hook某个API还有别的好方法吗?
分段加密解密具体是怎么实现的呢/像Aspack?壳那样
变形引擎中.解密时候所用的寄存器是怎么变换的...这个比较急切想知道
[/b] nod32没病毒库? nod32好像有,但是很小 请问一下,什么叫启发式呢?可以解释一下吗?谢谢!
因为我在反汇编一个程序时,总是很长时间说正在汇编启发式程序。
页:
[1]