欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

关于定位特征码过程中出现死循环的解决方法

来源:转载 作者:佚名 时间:2009-07-30 TAG: 我要投稿
大家都知道,现在免杀可不简单了!

     最近杀毒软件也不像原来一样简简单单就过了。一些杀毒软件在定位特征码的时候出现了死循环的现象,论坛好多朋友都
在问。今天我要说的也就是这个问题。

     卡巴,金山在定位的时候出现比较厉害的死循环。其实我们可以很简单的避开死循环。先说一下为什么会出现死循环,其实这只是复合特征码的常识而已,没有什么可以多议论的。我们在配置的时候,更换一下目录,名字,还有安装名称等(尤其是鸽子)。

      那么这样做有什么好处呢,在定位的时候特征码比较少。修改起来方便而已。死循环其实就是在一处特征码上的问题,我们可以做一个假设,假如00001025和00001027和000010E8这三处是复合特征码(仅为假设)。

      开始杀毒软件定位在1025上填充后还是定位在1025上,这个是为什呢,其实只要我们能修改1027或者10E8其中的一处,有时就可以达到免杀的效果。哪么我们现在就来研究怎么定位出后面的特征码。也就是我们可以修改的地方。

    方法如下:

1.从400开始定位,这个也就是我们俗称的代码段开始定。没有多少可以讲的,除非是定位在文件头或者PE头,一般如果出现死循环或者定位不到特征码,或者定位的特别难修改,都可以尝试从400也就是代码段开始定位。

2.入口点加1,为什么要入口点加1,其实还是和如何特征和文件特征有关系,一般杀毒软件在确定特征码的时侯还对文件大小等做一个粗略估计(个人感觉),只有基本符合的才定义位病毒或者木马。哪么我们就可以在入口点上做文章了。加1也可以解决分多少块都杀的情形。

3.还有就是分块的个数,有时你分50块全杀或者出现死循环你换成51.52.55.80....等说不定就可以解决问题了。

4.还有一种个人感觉效果更好一点,但如果是做dat的免杀,恐怕有时候就不那么好搞了。就是加壳后改壳,然后再定位,这样免杀的效果会更好一点。

5.反向定位也许大家都听说过,也尝到了反向的甜头。什么叫反向定位?我感觉是反向填充后重新杀,不知道有没有搞错,这个就不多说了,大家也都可以。

说了这么多。其实还有一个更简单的方法,把定位出来的先修改了再继续定位。呵呵,希望大家继续发掘吧!@
【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载