免杀
文章平均质量分 66
1_f0rm4t3d
-
展开
-
免杀原理详解(二)
一:灰鸽子免杀方法大全在所有的版本中,黑防的鸽子算是比较好做免杀的了,今天在这里,我就用他做案例1,最经典的OD一半一半定位法我们把整个黑色标记的区域看成是没有修改的木马代码把它从中间切平均分成两半,把其中的一半用nop 填充掉,再用瑞星杀内存,如果杀掉了就说明特征代码在我们没有nop 掉的一半,没有杀到就说明我们刚刚nop的一半中含有特征代码。所演示的情况是特征代码在没有nop 掉的一半,然转载 2013-12-18 18:33:32 · 1563 阅读 · 0 评论 -
木马免杀原理详解(一)
木马免杀原理详解首先来简单了解一下杀毒软件查杀病毒的原理,当前杀毒软件对病毒的查杀主要有特征代码法和行为监测法。其中前一个比较方法古老,又分为文件查杀和内存查杀,杀毒软件公司拿到病毒的样本以后,定义一段病毒特征码到病毒库中,然后与扫描的文件比对,如果一致则认为是病毒,内存查杀则是载入内存后再比对,第二个比较新,它利用的原理是某些特定的病毒会有某些特定的行为,来监测病毒。免杀常用的工具:转载 2013-12-18 18:29:08 · 4909 阅读 · 0 评论 -
动态分析工具OllyDbg学习笔记(一)-入门
没有耐性学不好逆向!!!OD常用快捷键:f2:断点f3:打开文件f4:执行到光标f5:窗体大小话f6:窗体切换f7:单步步入f8:单步步过f9:运行(到断点停下)组合快捷键:ctrl+f2:重启调试程序ctrl+f7:自动单步步入ctrl+f8:自动单步步过(esc暂停)ctrl+G:转到地址ctrl+N:找到调用的API地址ctrl+f9:执行到返回(一般是原创 2014-03-22 01:15:26 · 4251 阅读 · 0 评论 -
关于父进程和子进程的关系(UAC 绕过思路)
表面上看,在windows中。如果是a进程创建了b进程,那么a进程就是b进程的父进程,反之,如果是b创建了a,那么b进程就是a的父进程,这是在windows出现以来一直是程序猿们都证实的,但是在在win Vista后面有了一个新安全消息机制,UAC(user account control),这里科普下UAC的功能,其实UAC就是大家常见的安装软件或者启动程序的时候的出现的全屏变暗的一个提示框,这原创 2014-05-11 23:15:28 · 6519 阅读 · 0 评论 -
加壳学习笔记(一)-基础知识
1.预备知识 1.关于栈,在windows里面的堆栈其实很简单,当学了才知道哈,呵呵,第一要记住的是windows里面的栈是向低地址生长的(extended,延伸,呵呵,顺便丰富下英语的单词量,确实是少的可怜),你可以这样认为,栈就像是一个倒立的箱子,箱子的口子是向下的,底是向上的,这里就表明了系统栈的分布也是延伸方向是由高地址向低地址extended,在最初的原创 2014-05-19 23:11:18 · 1871 阅读 · 0 评论 -
加壳学习笔记(二)-汇编基础
简单的call函数过程 1.参数入栈,返回地址入栈。在一个栈帧里,call function的完整过程应该是这样的,call调用的过程要经历两个过程,一个是首先把调用函数之前的指令的下一条指令地址压入栈中(push ebp),作为返回地址,也就是保存旧栈地址,接着会跳转到被调函数的地址入口。呵呵,现在就是借此来恶补汇编哈。 2.代码区跳转。在执行被调函数的时候,为函数重新开辟栈帧,(mov ebp,esp)这句的意思是将旧栈顶换为新栈的底,这里的新栈一般是由函数专属的哈, 下面就是用sub esp,原创 2014-05-19 23:18:18 · 1528 阅读 · 0 评论 -
三种方法打印 main函数的返回地址的值(old EIP)(用途,你懂得!)
这里可以简单的修改任意函数的返回地址,可以做到自定义EIP的指向,即可执行当前进程空间的任意指令,这里只是让大家更清楚栈帧结构,没有涉及跨进程的inline HOOK 等,后面会陆续讲下读取任意进程内存,修改任意进程函数执行流程等方法。 废话不多说了,直接上菜: #include #include /* 打印 main函数的返回地址的值(用途,你懂得!)原创 2014-09-28 23:16:04 · 3703 阅读 · 0 评论