[讨论]给PS定位特征码的时候遇见的怪事
议题作者:sniper信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
刚才给pcshare定位喀吧6.0下的特征码,update目录下的那三文件,exe倒好过,找到位置后一个jmp就搞定。DLL和EXE定位出来的特征码却然我感觉有点匪夷所思了:
dll
-------------定位结果------------
序号 起始偏移 大小 结束偏移
0001 00000000 00000010 00000010
0002 00000030 00000010 00000040
0003 000000F0 00000020 00000110
0001 00000120 00000002 00000122
0001 000001FC 00000002 000001FE
0002 00000204 00000002 00000206
~~~~~~~~~~~~~~~~~~~
sys
-------------定位结果------------
序号 起始偏移 大小 结束偏移
0001 00000000 00000002 00000002
0002 0000003C 00000002 0000003E
0001 000000D0 00000002 000000D2
0002 000000D6 00000002 000000D8
0003 000000E4 00000002 000000E6
0004 000000F8 00000002 000000FA
这2个文件的特征码定位出来竟然全部这么靠前,这貌似就没法改了呀。。。你随便动哪一下那出的问题可都不一般了,直接无效的PE文件啊。以前很少接触免杀这方面,最近才接触,烦请各位达人指教:如何修改这类的特征码来pass喀吧。 位于什么区段的, 把相应的汇编代码发出来看下..... 00000030 00000010 00000040
0003 000000F0 00000020 00000110
0001 00000120 00000002 00000122
这些是不是在PE文件头的位置呀?如果是,听说在现在有一个什么PE文件头移位的方法,(只是听说,我也没有做过) WINHEX打开那个DLL的图在附件。特征码就全部是在文件头那里。 移动下PE头测试是否可以免杀,如果不免杀,那么说明你定位的错误,因为现在的杀毒软件并非之前的杀毒软件,基本上都做了一些反定位措施,你可以跳过PE头从代码段开始定位。。 移了PE,免杀了,但是文件被我改坏了。。。。不知道什么原因 自己重写pe头 ......你移动的是否正确... 不知道是否正确啊。。。。。有没有相关动画一类的,第一次移PE,非常有可能是操作错误 我给黑客防线做免杀课程有修改PE头类课程,不过是vip课程....... 你加我qq4159175我给你看下是否正确... 其实就是移动下整个PE头然后修改下IMAGE_DOS_HEADER结构e_lfanew域.. 我在瑞星下作鸽子免杀的时候也有特征在PE头上,绕不过去。。 to:上帝在堕落
什么版本的鸽子?
我试过免杀07的鸽子DLL文件,被瑞星定义的第三处特征码就在PE头附加的指令...
无论用什么方法,那条汇编指令一但改变,文件就无法正常被加载... 现在给鸽子做免杀是个天煞的事情.. 最近感冒了,很严重。。而且也比较忙。等空了再请教fish同志吧。
PS:我加FISH的QQ了,我可能在你陌生人里面 ....你给我说句话,注明邪八就行了。不然我很少说话的.... 呵呵 祝你早日康复... [s:267] 可以反向定位。。开始的位置不一定要在E0。可以从第一个节开始。
PS:我觉得改头一点用都没有。。反而以后的免杀就麻烦了。。 反向定位看看
页:
[1]