[原创]免杀壳
文章作者:lyws信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
最近想到一个问题,如果我们的壳可以将解密的密码和壳分离的话,就不怕静态扫描了。所以就做了这个壳,将解密的密码以最后一个参数的方式传入程序,在由壳解密运行。杀毒软件应该不会想到用参数取运行程序,自然就免杀了。 呵呵! 思路很不错.这样确实有用
不过下面这样的代码太丑了//:sweat:
004018B8 |. 66:813E 4D5A cmp word ptr [esi], 5A4D
004018BD |. 74 02 je short 004018C1
004018BF |. EB 21 jmp short 004018E2
004018C1 |> 0376 3C add esi, dword ptr [esi+3C]
004018C4 |. 813E 50450000 cmp dword ptr [esi], 4550
004018CA |. 74 02 je short 004018CE
004018CC |. EB 14 jmp short 004018E2
[[i] 本帖最后由 洋洋洒洒 于 2008-4-12 10:36 编辑 [/i]] 你这个不算是一个免杀壳,只不过是加了一个密码验证的思路demo
不是打击楼主的激情,思路真的没什么新意...
代码加密没必要传参,更简便的方法是你的壳随机生成加密密钥,
把加密密钥写在压缩加密的程序里就行,过静态免杀小case
回复 椅子 evilcoder 的帖子
一个是程序中有密钥一个是程序中没有密钥
前者杀毒软件可以轻易的找到密钥并解密代码
其它懒得说了 :lol:
找密钥解密代码....
如果你是搞杀软开发的..你该失业了 很多年以后 一加一还是等于二
数学理论基础不会变.
没有密钥不能读到代码,你如何查杀 evilcoder:
PolyBox[C]...的原理及是如此。。。可是最后得到的结果是~
你的解密头部不会Poly~无效被杀。。。
传参是不错。但是。还有有一定局限性
洋洋洒洒:
传参。。哈哈说白了就是双进程。。。
杀毒软件模拟的都是原始程序。。。
一般无法模拟第二个程序。。。因为这样很容易造成死循环。。。
吗啡的方法就不错。将程序伪装成一个。真正的PE文件。
没有占内存段。导入表也是新节中添加的。重定位,导入表,TLS等
都是模拟的,给杀毒软件造成一个假象。认为他就是PE。。。
所以免杀了。。。
免杀壳应该把自己构造成一个。PE,里面会出现各种函数的调用,随机导入表
当然对于自身的导入表也有新的要求。。。
按照zhuwg的说法就是av就是程序。。。他不可能智能化的脱掉任何壳。。。
所以你不用太在意他是什么。。。改变壳特征即可(对付NOD32.等保护好自己的导入表即可)反正我觉得文件免杀。一劳永逸的方法没有。觉得最可靠的还是。。。
类似文件合并器的那种方法。但是许多pe是不存在重定位表的。。这点很令人头疼。
抽代码只能对付一般的代码定位,重建导入表还是API重定向也可以。但是。最关键的问题还是。。。文件免杀。数据是无法移动的。。。及时IDA也无法做到重建重定位表。。。
拿到重定位表我们就可以把PE反过来玩。。。
OBJ层免杀不错。。。反转扭曲~这个引擎写写也很好玩 能运行吗,这样的免杀,虽然可以躲过杀毒软件的扫描,好象破坏了原来的结构 请问
加密和甲壳不能一劳永逸
的原因是因为杀软查杀的是内存吗
那是否有一个能解决大部分杀软的 办法 这个程序大概要多大的空间才可以加入代码?
干脆直接把先加个区算了,遇上没有多余空间的还不能直接加你这个壳。 只算是加了密码验证,呵呵,对免杀作用不大!不过,真正的进步是-----加油吧 ! 楼主可以再改一下吗? 如果我的程序有参数..就没办法运行了.
页:
[1]