今日精选 ·IBM刀片服务器的电源与散热分析 ·索尼为笔记本电池道歉 ·有效保护数据 嵌套光盘的加密更安全 ·黑客系列教程之21种提升权限的方法 ·教你如何将MySQL数据库的密码恢复 ·SQL Server数据库备份出错及应对措施 ·避免被间谍软件攻击的五种实用方法 ·个人电脑里保护隐私的安全技巧 ·Windows Vista中的日志查看器 ·黑客教程之注入点得知是否有硬盘访问权 >>>>
编程开发  Java | .Net | C/C++ | Delphi | VC/VB | XML | ASP | PHP
数据库  Oracle | Mysql | DB2 | Sql server
应用方案 无线网络方案 | 有线网络方案 

网管天地  网吧管理 | 路由器 | 交换机 | 服务器
网络安全  黑客技术 | 病毒漏洞 | 网站安全 | 服务器安全 | 入侵防御 | 防火墙
操作系统 Linux/Unix | Windows 
您现在的位置: 企业网络安全 >> 文章·资讯 >> 文章正文
黑防鸽子改特征免杀麦咖啡和诺顿8.0企业版
作者:未知 文章来源:本站原创 点击数: 更新时间:2006-7-28 18:28:34
今天难得被我在学校机房蹭到了机器,装了诺顿和麦咖啡。反正还没针对这两个杀毒软件做过免杀,所以干脆就改一下好了。
定位过程就免了,给出特征码位置:
诺顿的:   起始偏移 000B9A4D   偏移大小 00000007
麦咖啡:   只要修改000B28B8处就可完成免杀

先生成一个服务端,接下来用C32ASM打开(用16进制),按Ctrl+G跳到000B9A4D,我们看到了一大段的字符串,这些应该是程序控件名及属性的定义,修改大小写后并不会影响程序的正常执行。选中包含000B9A4D_000B9A54在内的一段,点右键,选择“修改数据”,选择“大小写反转”,最后保存文件,再用诺顿8.0企业版(病毒库都已经更新今天)查杀,通过,测试上线成功。

PS:从网上的资料来看,诺顿的特征码基本上是定位在字符串上,一般修改大小写就可完成免杀。

接下来在刚才修改免杀的基础上,我们再来修改麦咖啡的特征码。
用OC计算文件偏移000B28B8处的内存地址为004B9CB8,用OD加载鸽子服务端,按Ctrl+G跳转到004B9CB8处,看看该处的内容

004B9CB8   4E         dec esi

这里是减法运算,我们来看看它附近的汇编代码。

004B9CB0   4E           dec esi
004B9CB1   0049 00       add byte ptr ds:[ecx],cl
004B9CB4   43           inc ebx
004B9CB5   004F 00       add byte ptr ds:[edi],cl
004B9CB8   4E           dec esi
004B9CB9   0000         add byte ptr ds:[eax],al

各个寄存器相互并不影响,也不存在堆栈和出栈操作,我们要做的是改变004B9CB8处的汇编代码,这样也就改变了特征码,最简单的方法就是将004B9CB8处的代码写到程序后面的0区域,然后用JMP指令来完成跳转。不过这里不需要这么做,如果将004B9CB5和004B9CB8处的代码交换一下,改成如下的形式

004B9CB5   4E           dec esi
004B9CB8   004F 00       add byte ptr ds:[edi],cl

很明显原来004B9CB8处的代码换成了004B9CB5处的,而004B9CB5处的则换成了004B9CB8处的代码,交换顺序后,保存文件。用麦咖啡查杀已经通过,测试上线成功。

最后就是用Resource Hacker等资源编辑工具删除hacker资源,将修改后的服务端文件命名为CServer.dat覆盖到鸽子的Cache目录下。
即刻参加“用动易短信通 获赠免费短信”免费体验活动!
免责声明:作品版权归所属媒体与作者所有!!本站刊载此文不代表同意其说法或描述,仅为提供更多信息。如果您认为我们侵犯了您的版权,请告知!本站立即删除。有异议请联系我们。
文章录入:admin    责任编辑:admin 
  • 上一篇文章:
  • 下一篇文章:
    • 发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
    网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)
    | 设为首页 | 加入收藏 | 联系站长 | 友情链接 | 版权申明 | 网站公告 |