反汇编揭密黑客免杀变种技术-------免杀脱壳步骤(学习笔记)

最新推荐文章于 2022-07-14 17:05:54 发布
最新推荐文章于 2022-07-14 17:05:54 发布
阅读量450 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30508729/article/details/103075350
版权
本文是一篇关于黑客免杀技术的学习笔记,详细介绍了多种脱壳方法,包括单步跟踪法、ESP定律、二次断点法、末次异常法、模拟跟踪法、SFX自动脱壳法、出口标志法以及使用脱壳脚本和工具辅助脱壳的步骤。
摘要由CSDN通过智能技术生成

都是我以前总结的笔记,步骤是照着书上打的,书上总结的很全了。

OEP(original entry point)程序入口点

脱壳方法
一,使用单步跟踪法追踪OEP步骤:
1.用OD载入待脱壳文件,如果出现压缩提示,选择“不分析代码”。
2.向下单步跟踪,实现向下的跳转。
3.遇到程序往上跳转的时候(包括循环),在回跳的下一句代码上单击并按键盘上的“F4”键跳过回跳指令。
4.OD中的绿色线条表示跳转没有实现,不必理会,红色线条表示跳转已经实现。
5.如果刚载入程序的时候,在附近有一个CALL指令,那么就要按键盘上的"F7"键跳进这个CALL内,不然程序很容易运行起来。
6.在跟踪的时候,如果执行某个CALL指令后运行,一定要按键盘上的“F7”键进入这个CALL之内再单步跟踪。
7.遇到在POPAD指令下的远转移指令时,要格外注意,因为这个远转移指令的目的地很可能就是OEP。

总结:脱壳就是找程序入口点,入口点就是找POPAD指令,一般POPAD下不远处有一个远跳指令,跳到的地方就是程序的入口点,entry point

二,使用ESP定律追踪OEP的步骤:
1.将待脱壳程序载入到OD中,开始就按键盘上的“F8”键单步跟踪一步,这时如果看到OD

最低0.47元/天 解锁文章
02be55f
关注
汇编实战开发笔记】RISC-V汇编基础的三大块知识
一个专注于嵌入式IoT领域的架构师,深耕IoT领域多年,深度掌握IoT领域的相关技术栈,包括但不限于RTOS内核的实现及其移植、硬件驱动移植开发、网络通讯协议开发、编译构建原理及其实现、底层汇编及编译原理、编译优化及代码重构、嵌入式IoT系统的架构设计等。
01-31 9139
RISC-V汇编基础三大块知识
反汇编揭密黑客免杀变种技术笔记
边城浪子的博客
11-14 413
一.免杀的方法: 1.特征码法 2.校验和法 3.行为监测法 4.软件模拟法 二.目前主流杀毒软件以特征码法为主。 常见杀毒软件 1.卡巴斯基 2.瑞星 3.江民杀毒软件 4.诺顿 5.金山毒霸 6.NOD32 7.麦咖啡 8.小红伞 9.F-Prot Antivirus 10.微软杀毒 三.根据类别和方法分类 1...
杀不死的秘密:反汇编揭密黑客免杀变种技术
banyingcheng7736的博客
07-04 362
杀不死的秘密:反汇编揭密黑客免杀变种技术   下载:链接:https://pan.baidu.com/s/1n3XY28l-CTUoe2_jWGpE0w   提取码:n5ey   杀不死的秘密反汇编揭露黑客免杀变种技术,      转载于:https://www.cnblogs.com/007sm/p/11135221.html...
黑客反汇编解密 第一版
黑客反汇编
03-27 438
<br />刚刚看完第一遍 准备看第二遍 非常好的书
逆向脱壳分析基础学习笔记反汇编分析C语言
xiaotuge_always的博客
08-07 306
本文为本人在大神论坛破解脱壳学习笔记之一,为本人对以往所学的回顾和总结,可能会有谬误之处,欢迎大家指出。 陆续将不断有笔记放出,希望能对想要入门的萌新有所帮助,一起进步 反汇编分析C语言 环境:VC6.0 为什么不使用Visual Studio? Visual Studio的反汇编代码更复杂一些,如下为VS2019的空函数反汇编代码 可以看到有CheckForDebuggerJustMyCode等一些额外的函数 为了便于理解和学习,便采用VC6.0来进行学习 空函数反汇编 #include "stdaf
黑客反汇编揭秘》读书笔记
liuling_8008的专栏
07-04 712
因此,在美国遵循fastcall调用规范的函数之前,会出现一种高度肯定的方式对寄存器的内容“进行规整”的代码,具体是什么样的方式与特定的编译器相关。最为流行的传递参数方法在前面已经介绍过了,如果读者所使用的编译器不在此列(这是非常可能的——编译器正在如雨后春笋般地大量涌现),那么只能自己去实验或者查阅相关文档资料来弄清它的特性了。开发人员很少透露这样的细节内容——这不是因为他们要保守秘密,而是因为
Win-Masm v2.2 汇编集成编译器
08-01
[软件介绍] Win-Masm是一个界面...一键编译/连接/运行/Debug的傻瓜式操作使得汇编爱好者能够更加专注于汇编语言的学习。 欲了解更多,请在安装完成后查看帮助手册! 软件官方博客:http://blog.csdn.net/paullbm
如何把RISC-V的机器指令反汇编汇编代码
weixin_54430656的博客
07-14 2872
现知道某条 RISC-V (指RV32)的机器指令在内存中的值为 b3 05 95 00(16进制),从左往右为从低地址到⾼地址,单位为字节,那么如何将其翻译为对应的汇编指令
c32反汇编工具(免杀必备)
03-20
C32asm 是一款非常不错的国产静态反编译工具!
黑客反汇编,破解必学
weixin_30642029的博客
06-28 180
下面是一些好书,全部有中文版,找不到的也可以留言给我,我会上传到网盘跟大家分享: 精通黑客免杀杀不死的秘密黑客反汇编揭秘天书夜谭逆向C++The Shellcoder's Handbook 下面是一个反汇编的好工具: http://u.115.com/file/f53fffcfe2IDA5.2汉化版.rar 转载于:https://www.cnblogs.com/qnbs1/articl...
杀不死的秘密
04-02
木马 免杀 秘密 揭秘 一、免杀技术的发展   所谓“免杀”,就是逃避杀毒软件的查杀,目前用得比较多的免杀方法有加壳、修改特征码和加花指令三种,通常黑客们会针对不同的情况来运用不同的免杀方法。   第一款杀毒软件Mcafee是于1989年诞生的。   1989年:第一款杀毒软件Mcafee诞生,标志着反病毒与反查杀时代的到来。   1997年:国内出现了第一个可以自动变异的千面人病毒(Polymorphic/Mutation Virus)。   2002年7月31日:国内第一个真正意义上的变种病毒“中国黑客II”出现。2004年:在黑客圈子内部,免杀技术由IT工程师之家团队在这一年首先公开提出。   2005年1月:大名鼎鼎的免杀工具CCL的软件作者tankaia在杂志上发表了一篇文章,藉此推广了CCL,从此国内黑客界才有了自己第一个专门用于免杀的工具。   2005年2月至7月:通过各方面有意或无意的宣传,黑客爱好者们开始逐渐重视免杀。   2005年8月:第一个可查的关于免杀的动画由IT工程师之家团队完成。   2005年9月:免杀技术开始真正的火起来。   [国内免杀技术的起源时间:2002年7月31日]   小提示:毫无疑问,“免杀技术是目前最火热的技术之一。“免杀”是可用性很强,应用范围非常广的一门黑客技术免杀往往是脚本入侵技术、病毒攻击技术等一些其他黑客技术的准备工作。举个简单的例子,当一个黑客发现并利用了一个网站所存在的脚本漏洞后,经过提权最终得到了服务器的管理权限。为了方便和巩固控制,黑客往往需要将后门传至对方网站服务器上(可能是脚本后门,也可能是PE后门),或者是rootkit,然而对方服务器上有很厉害的杀毒软件,当这些后门被黑客上传到对方服务器之后,服务器上的杀毒软件识别并查杀出黑客上传的后门或rootkit,使黑客的工具不能发挥作用。这在很大程序上影响了黑客对漏洞的利用。但是如果黑客上传的工具是经过免杀技术处理过的,那么黑客就可以通过简单有效的工具来巩固控制。显然,这只是一个很片面的例子,在真正的Hacking过程中,免杀技术几乎是无处不在,所以学好免杀技术对于一个信息安全技术爱好者是非常重要的。
最全最新反编译+脱壳+反混淆工具
01-22
最全最新反编译+脱壳+反混淆工具 需要的拿走 亲测可用 里面附有源码 高深人员还可以重新编译源码
黑客反汇编揭秘》第3章实践
梵·烈火的专栏
05-09 1382
黑客反汇编揭秘》第3章实践。根据书中的指导使用dumpbin对一个简单的密码匹配程序进行破解。
Atitit.木马 病毒 免杀 技术 360免杀 杀毒软件免杀 原理与原则 attilax 总结...
weixin_34130389的博客
03-08 532
Atitit.木马 病毒 免杀 技术 360免杀 杀毒软件免杀 原理与原则 attilax 总结     1. ,免杀技术的用途2 1.1. 病毒木马的编写2 1.2. 软件保护所用的加密产品(比如壳)中,有一些会被杀毒软件误认为是木马或病毒;2 1.3. 一些安全领域中使用的部分安全检测产品,也会被杀毒软件误杀。2 1.4. 远程监控技术一样。2 2. 1.3 免杀的发展史2 3. 免杀技...
破除安全软件的防御-------黑客免杀的生成
张同学
11-11 408
一、什么是黑客免杀 kali利用venom生成免杀木马 1.获取源码 git clone https://github.com/r00t-3xp10it/venom.git 2.设置权限 cd venom sudo chmod -R +x *.sh sudo chmod -R +x *.py 3.执行安装 cd aux sudo ./setup.sh 4.运行 sudo ./venom.sh 5选择对应的操作系统 6选择相应的攻击模块 这里可以看到,总共有20个攻击模块,不同额模块有不同的编码方式来绕过杀毒
学习笔记】从eXeScope到汇编反汇编、加壳与脱壳的理解
Hakutaku白泽
08-27 2582
        由于博主需要对.exe文件的内部程序进行修改,因此今天面向百度编程学习了如何修改.exe文件。通过百度,笔者发现了eXeScope这款神器,并基于此神器对“汇编反汇编”、“壳”的概念有了一定程度的了解。特写作此文,记录下自身的收获。 目录汇编Assembly反汇编DisassemblyeXeScope软件介绍:壳壳的概念壳的种类加壳和脱壳技术加壳的解压原理    &nbsp.
黑客免杀攻防学习笔记》——C++设计一个简单的壳2
Traxer的学习之路
12-23 2845
本文中的代码均来自《黑客免杀攻防》,如要转载,需写明来源,请勿用于非法用途,作者对此文章中的代码造成的任何后果不负法律责任。本文接上一篇简单的壳1. 2.加壳部分          写这个部分的时候我自己对于这部分的代码也没有做到很熟悉,因为这部分相对于前一部分来说复杂了许多,后面就会看见。所以我也是通过再次巩固来进一步理解加壳的基本步骤。废话不多说,首先还是从声明部分说起。对了在这之前,最好
免杀技术
weixin_30823227的博客
05-27 305
一、基础知识 1.杀软是如何检测出恶意代码的? (1)检测特征码 人有自己的特征,代码也有自己的特征。杀毒软件都有着一套特征库,依靠检索程序代码是否和库中特征码是否吻合来判断某段代码是否属于病毒。 (2)启发式恶意软件检测 如果该程序的特征和行为与病毒程序类似,其匹配程度达到一定值就可以认为该程序是病毒程序。 (3)基于行为检测 与启发式检测类似,只是单纯依靠监测程序行为来作为标准。通过监视恶意代...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值