mycclOllydbg怎么定位灰鸽子特征码
mycclOllydbg怎么定位灰鸽子特征码
今天坑剧哥来给大家分享一些关于mycclOllydbg怎么定位灰鸽子特征码方面的知识吧,希望大家会喜欢哦
1、如果你细心的话会发现这两个偏移其实都在CODE段中,这正说明大多数特征码的位置都存在于代码段里。
2、MYCCL是复合特征码定位器,例如瑞星查灰鸽子吧,可能不是一个病毒特征码,因为一个很容易被人找到,非常容易做出免杀的鸽子。所以现在出现了多中特征码,这样以前的CCL就不适合了。就出现了MYCCL。
3、先把EXE载如LOADPE选择区段,看看区段的可写入行。
4、CCL(特征码定位器,由于杀软的升级,现已过时)MYCCL(特征码定位器,由程序员Tanknight在CCL的基础上改进)OllyDbg(特征码的修改,可用于动态反汇编。
5、修改文件特征码免杀法:用到工具:特征码定位器,OllyDbg特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码。但免杀效果好。
遇到特征码定位在jmp指令上面的构造替换pushxxxxxret。举例:jmpxxxxx构造替换pushxxxxxret遇到特征码定位在call指令上的。
切块,一般来说先切5-10块,生成。然后杀毒,二次生成,再杀毒,杀到没有,再切片。就看到特征码了。特征码的偏移长度一般在00000002就对了,用C32或者OD都可以改。一个是静态反编译一个是动态,看你的情况了。
你定位前一定要无壳的马来定位,定位完点二次处理定到单位长度为2,单位长度到2的时候,你前面的分块个数是几就是几了,不必去修改。3总体说就是把你定位的特征码全部定位到单位长度是2就可以了。
1、我说说免杀吧,特征码定位用CCL特征码定位器,或者其他特征码定位器来定位,通常是这样用,把程序分成10段,先把第一段填充成0,然后查杀,如果不报警说明特征码在这段,如果报警就重新打开原来的程序填充第二段。
2、免杀一般要先定位特征码。如果你定位出的特征码位于程序代码段,则需要修改机器码(汇编代码),才能达到免杀的效果。简单来说,你需要关注的是,哪些指令可以调换,或者那条指令可以用另一条指令代替。
3、要进行内存特征码的定位和修改,才能内存免杀。
4、以后将加花指令与改入口点,加壳,改特征码这几种方法结合起来混合使用效果将非常不错。
5、特征码修改要联系上下文的,还要看定位在文件的什么部分。其中分为:1代码部分;2输入表函数;3输出表函数;4字符串;5数据流;各部分修改方法不一样的。从上面你贴出来的内容看,不能确定属于什么部分。
6、加花以后一些杀毒软件就认不出了,但有些比较强悍的杀毒,比如司机大叔(卡巴斯基)可能还是能查出来,这时就要定位特征码然后修改了,要修改首先必须知道特征码在哪里,所以需要先定位特征码,这是个难点,特别是复合特征码的定位。
本文到这结束,希望上面文章对大家有所帮助
