昨天遇到个丢人的事儿,导入表免杀居然失败了。。身为黑防的铂金居然这种基础都搞不定
后来才发现是自己的失误
OK。由于现在没切图,就随便找个exe做个示范,修改导入表
OK。定位在API函数VirtualFree这里,也就是地址00074404这个位置,
API函数是不能够修改名称的所以必须使用移位法
00074404地址前移2位试试
然后保存运行
提示kernel32.dll无法定位rtualfree呵呵,那是肯定的,api函数都被修改位置了。那么用法宝LordPE
载入程序后可以看到程序大体的结构,好的查看他的目录
导入表出点击 ..
找到刚刚的kernel32.dll,然后去找到VirtualFree这个API
看到没有,这个位置,rtualFree 的API,是因为我们移动了位置导致了无法正确的应用,那么我们修改他的地址前移动2位(刚刚在上面修改代码的时候前移动了2位所以这里也移动两位)
点击确定,然后保存
看看
![]()
![]()
他已经修复了。VirtualFree,我们保存下
看看能不能运行
OK。能成功运行,
那么我们的木马也就免杀了。。
其实现在的杀软对特征码的定位有待提高(我一年前用这个方法也行,一年后的今天还是可以)
昨天晚上用鸽子2010做免杀,很快就过了360双核杀毒和NOD32,还是我可爱的小红伞无法搞定,好像是内存定位出的问题
所以专业人士还是建议使用小红伞+comodo防火墙 做组合,完美的搭配(普通网民还是建议使用360+小红伞比较comodo防火墙需要一定的网络知识)
如果你不想被人当肉鸡玩弄还是换了吧(不明白,为什么杀软的内核机制还没改变)
以前遇到一高手,非常牛B,我在一朋友电脑里面植入了木马(纯粹变态思想,就想每天看看他们在干什么,现在想想自己真白痴)
他就装了江民杀软来杀我的木马,他和我那朋友用的QQ远控,他在操作,我忍不住就和他搭话(用的记事本),他很优雅的骂我
算了,我脾气好,毕竟一个电脑上面有着3个人的痕迹,我,他还有我那无辜的朋友蹲坐在电脑面前不知道他的电脑在干什么,之后说了一些自己事儿,原来他还是个电信上班的工程师(原来工程师喜欢江民“江民的启发式扫描很好,杀毒能力还不错,”),看来电信上班的不一定就明白为什么江民不能够把我赶出去,其实稍稍学过网络知识的人也应该明白,我和我那朋友之间通信肯定只通过TCP/IP协议通信的,那么他直接查看协议连接,不就知道我的地址和我的连接方式了吗,然后针对行结束掉,之后在清楚被感染的文件,根本不需要杀软,工程师可能读书读傻了。。然后就很气愤的说了我一大堆,说小孩子别学坏了。。(现在想想也是,我现在已经不是黑客了,也不会木马了。呵呵,远控是什么?)
想想当年他的教导,我今天想想感触满深的,谢谢你的指教。
还有让我做免杀的那个“黑客”,问我要免杀远控的黑客们,你们好好学学基础知识,我想想你们很快就不是黑客了。。当你学的越多,你会发现黑客二字离你越远,黑客不等于盗号,黑站,挂马,入侵;
那些傻逼记者别再乱报道了。。。现在的小孩儿已经完全不明白什么是技术了。认为安装个木马,盗个号也叫技术(我曾经让一个8岁的小娃儿玩过,算技术吗?)
1355
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
