设为首页收藏本站

SKY外语、计算机论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 8889|回复: 5

vc++代码免杀方法一

[复制链接]

8

主题

3

好友

167

积分

版主

Rank: 7Rank: 7Rank: 7

生肖
星座
巨蟹座
性别
保密
发表于 2013-10-1 09:24:39 |显示全部楼层
作者:穆穆  日期:2013-10-01  原文地址:http://www.skywj.com/thread-9109-1-1.html

一、文件特征码定位:

一般我们先用MyCCL把被查杀文件的文件特征码定位出来,然后用C32判断定位出来的这个特征码是代码还
是字符串,或者是输入表、输出表、版权信息等…定位在不同的地方,就要用不同的方法来进行源码免杀。

如果特征码定位木马服务端的代码里,那么我们就把这个木马用OD载入,然后把特征码旁边(前
面和后面)调用了的API函数记录下来,再到源码里搜索并找到源码特征码。或者用另外一种"Map定位法",
也就是在编译的时候生成一个map后缀的文件,然后把MyCCL定位出来的文件地址转换为内存地址,再到
map文件里找到这个内存地址对应的行数。但这个方法比起刚才的方法来说麻烦了点,所以就不具体介绍了。

二、源码特征码修改:
把特征码前后调用了的API函数复制出来,然后到源码里搜索这个API函数,在它附近(一般加在前面)加花就
可以了。或者你也可以修改代码,把原来的代码改成能达到同样目的的代码。
如果你不想定位的话,那也可以随便给源码加花,也就是说不特意的去定位特征码,而是随便选一个地方
加花。除非字符串或者输入表函数被杀,不定位加花的方法几乎可以不用定位特征码而达到免杀的目的。

三、示例:
Example.cpp,把这个文件编译出来,然后我们来看看改变代码后编译出来的文件有什么变化






我们发现明显用出来的要比DEBUG编译出来的少很多,一般在编译的时候选择Release编译这样能减少垃圾代码保证分析的效率。


(未完待续)


150

主题

6

好友

1179

积分

管理员

Rank: 9Rank: 9Rank: 9

性别
保密

最佳新人 活跃会员 推广达人 宣传达人 突出贡献 优秀版主 论坛元老

发表于 2013-10-1 17:57:19 |显示全部楼层
好贴,这样的帖子应该多发!
回复

使用道具 评分 举报

2

主题

0

好友

120

积分

注册会员

Rank: 2

性别
保密
发表于 2013-10-1 20:50:54 |显示全部楼层
接着看第二篇,等着看第三篇
回复

使用道具 评分 举报

37

主题

9

好友

1185

积分

超级版主

Rank: 8Rank: 8

性别
保密

最佳新人 活跃会员 热心会员 灌水之王 突出贡献 优秀版主 论坛元老

发表于 2013-10-3 09:27:24 |显示全部楼层
我也来占个位置
回复

使用道具 评分 举报

0

主题

0

好友

486

积分

版主

Rank: 7Rank: 7Rank: 7

生肖
星座
水瓶座
性别

最佳新人 活跃会员 论坛元老

发表于 2013-10-7 09:22:17 |显示全部楼层
支持
回复

使用道具 评分 举报

0

主题

0

好友

4

积分

新手上路

Rank: 1

自我介绍
[url=http://ip.WoTuLa.com][img]http://i.WoTuLa.com/note.png?name=你好&say=欢迎来到德莱联盟。[/img][/url]
性别
保密
发表于 2015-4-21 09:12:05 |显示全部楼层
请问你那张图片怎么回事?
回复

使用道具 评分 举报

您需要登录后才可以回帖 登录 | 立即注册


手机版|SKY外语、计算机论坛 ( 粤ICP备12031577 )    

GMT+8, 2019-7-18 21:21 , Processed in 0.182617 second(s), 34 queries .

回顶部