¿Cuántas maneras hay de evitar matar la OD?
1. Acerca del origen del software antivirus
Para que nuestros troyanos sobrevivan más tiempo bajo la amenaza de varios programas antivirus.
2. ¿Qué es? El antivirus y el software antivirus se pueden dividir en dos categorías:
1. Software antivirus de archivos y software antivirus: escanee el programa utilizando el software antivirus sin ejecutarlo. el programa y obtener los resultados.
2. Evitación y escaneo de memoria: método de juicio 1> Después de ejecutar, use la función de escaneo de memoria del software antivirus.
2> Use OD para cargar y use anti -virus La función de escaneo y eliminación de memoria del software.
3. ¿Qué es un código de firma?
1. Significado: una cadena característica de no más de 64 bytes que puede identificar un programa como un virus.
2. Para reducir la tasa de falsas alarmas, generalmente el software antivirus extraerá múltiples cadenas de características. En este momento, a menudo podemos lograr el efecto antivirus cambiando solo. Una parte, por supuesto, algunos programas antivirus requieren cambiar varias cosas al mismo tiempo para evitar que los eliminen (estos métodos se presentarán en detalle más adelante)
3. Usemos un diagrama esquemático para comprenderlo. el concepto específico del código de característica
4. Las características del código de característica Posicionamiento y principio
1. Cómo buscar códigos de firma: si se reemplaza el código de firma en el archivo según los datos que completamos (como 0), entonces el software antivirus
no emitirá una alarma para determinar la ubicación del código de característica
2. El principio de funcionamiento del Localizador de código de función: reemplace algunos bytes en el archivo original con 0, luego genere un nuevo archivo y luego elimínelo de acuerdo con el código
Utilice software antivirus para detectar los resultados de estos archivos y determinar la ubicación de la firma
5. Herramientas para entender la ubicación y modificación de la firma
1. CCL (Character Code Locator)
2.OOydbg (modificación de la firma)
3.OC es una pequeña herramienta que se utiliza para calcular desde la dirección del archivo hasta la dirección de la memoria.
4.UltaEdit-32 (editor de diez hexadecimales, utilizado para el posicionamiento manual preciso o la modificación de códigos de características)
6. Método de modificación del código de característica
La modificación del código de característica incluye la modificación del código de característica del archivo y la modificación del código de característica de la memoria, porque los métodos de modificación de estos dos códigos de característica
son universales. Por lo tanto, daré una sección general sobre los métodos de modificación de firmas más populares actualmente.
Método 1: Modificar directamente el método hexadecimal del código de característica
1. Método de modificación: Cambiar el número hexadecimal correspondiente al código de característica a uno con una diferencia numérica de 1 o similar Hexadecimal.
2. Ámbito de aplicación: asegúrese de ubicar con precisión el hexadecimal correspondiente al código de característica. Después de la modificación, asegúrese de probar si se puede utilizar
normalmente.
Método 2: Modificar el uso de mayúsculas en las cadenas
1. Método de modificación: convertir el contenido correspondiente al código de característica en una cadena, simplemente intercambie los caracteres superiores e inferiores.
2. Ámbito de aplicación: el contenido correspondiente al código de característica debe ser una cadena, de lo contrario no tendrá éxito.
Método 3: Método de sustitución equivalente
1. Método de modificación : Reemplace las instrucciones de ensamblaje correspondientes al código de característica con instrucciones con funciones similares.
2. Ámbito de aplicación: Debe haber instrucciones de ensamblaje reemplazables en el código de característica. Por ejemplo, JN, JNE deben reemplazarse por. JMP Espera.
Si eres como yo y no entiendes el ensamblaje, puedes consultar el manual de ensamblaje del 8080
Método 4: método de intercambio de secuencia de instrucciones
2. Ámbito de aplicación: tiene ciertas limitaciones después del intercambio de códigos, no debe afectar la ejecución normal del programa.
Método cinco: método de salto universal
1. Método de modificación: mueva el código de característica al área cero (refiriéndose al espacio en el código) y luego regrese a un JMP para su ejecución. .
2. Ámbito de aplicación: no hay condiciones, es un método de modificación general. Se recomienda encarecidamente que todos dominen este método de modificación.
7. Método de modificación integral para. Troyanos para evitar el antivirus
Método para evitar el antivirus en archivos:
1. Agregue shells impopulares
2. Agregue instrucciones sofisticadas
3. Cambie el punto de entrada del programa
4. Cambie el archivo troyano 5 métodos comunes de códigos de función
5. Existen varias otras técnicas de modificación antivirus
Métodos antivirus de memoria:
Modificar códigos de característica de memoria:
Método 1> Modificar directamente el método hexadecimal del código de característica
Método 2 > Modificar el método de mayúsculas y minúsculas
Método 3>Método de sustitución equivalente
Método 4>Método de intercambio de secuencia de instrucciones
Método 5>Método de salto universal
Método 6>Utilice herramientas inmunes para evitar el escaneo de la memoria