零度空间

今天在看了有人讨论黑防鸽子免杀的问题...大家都知道..硬性免杀方法.无非就是那么几招对不..!

例如.跳转之类的..很早前就有了...

那最常见的就是修改特征了...对于操作熟练的人来说..修改几处特征并不是难事..

但是.假如.摆你面前的是26处特征呢.?你真的愿意.冒着程序报错的风险来修改26个位置么.?

( 26处特征...是瑞星对黑防鸽子原服务端的特征 )

首先..花去的时间不说..重要的是..谁都没办法保证.修改后.程序能正常稳定的运行..!

那我们应该如何下手..?陋习.改特征..?我们得创立自己的思想..善于思考..!

要明白.自己为什么这么做.有没有更简单的方法..!能否来点技巧..偷些"懒"...

对.这就是今天我想告诉大家的..

事情发生大约在很久之前..

我自己相当有信心的免杀..却同时被个大杀毒软件查杀了..如果你说是被捕获了样本..

那不大可能..因为我虽然有免杀..但是.却从来不抓鸡...接下来的情况是..

各个版本的免杀.都被杀了...如果是你们..你们会怎么做.?重新加壳.?改特征.?或其他..对吗.?

我想大多数人是这么做的..我也不例外..

但是.我突然意识到了一点..杀毒软件为什么同时杀掉所有..我相当有信心的免杀呢.?

对于.为什么说成相当有信心.是我个人原因..我只能告诉大家.这个免杀了很长.很长的一段时间..

按.道理.就算被杀.也是分先后.对么.?

那么.他们就一定有个共同点..也就是.利用了鸽子的一个"通病"...在鸽子上找到了一个共同点..

OK..

实验:

我NOP掉特征...还是被杀..这就证明.特征绝对不是被杀的关键因素..大家说对么.?

我仔细考虑了下..分析了..发现一个特点..!那就是杀软的变种名都为相同 Backdoor.Gpigon.gen

问题出在了gen 上面..卡吧报告说.gen是修改过的意思..

那问题是..到底哪一点.招这么多杀毒软件的"喜爱"呢.?  ASCII不大可能..

杀毒软件不是傻子..他知道你会改掉...那会是什么.!

聪明的你一定想到了..那就是资源文件名例如: SEVEINFO

实践证明..完全正确..我修改了资源文件名后..所有杀软..PASS.!

从这点.我没有用常规的修改特征..来免杀..而是.用了一个小小的技巧..就全过了..

恢复了自己的信心..哈哈..!


道理很简单..但是.发贴的目的.就是为了使大家在学习的路上.学会从多个方面考虑下问题的所在..

我自认为,我不是个免杀高手..也许.论坛很多朋友免杀的杀软比我多的多..

但是.我喜欢.自己思考问题的关键..我不是为了炫耀.我多聪明...多么会想问题..

而是.希望.我以我的实际经验..给大家带来更多有用的东西..

而不是.一个硬绑绑的免杀服务端..!


最后:

对于.某些杀毒软件.无论你生成多少个样本..都被杀..你可以考虑下我的建议..!

你是否想过..假如他杀的不是特征呢..?

最后..你是否在金山专杀的杀毒方式上得到了启发呢..?

现在不玩这个了..不过.那个时候.我记得.杀毒软件定位黑防鸽子为17处特征..

通过修改资源文件名后..发现特征码立刻变成了为2处而且为简单的ASCII..!