華中紅客基地菜鳥學習免殺系列教程 筆記
阿新 • • 發佈:2018-12-16
- 第一集 特徵碼定位
MYCCL
分塊數量 一般50-100,分塊數量越大,電腦負荷越大,但迴圈次數越少,手動操作工作量越小
開始位置 PE檔案節表資訊中CODE節 起始位置
分段長度 PE檔案節表資訊中CODE節 物理長度
選擇 複合定位
點選生成 …………
對生成目錄進行查殺,查殺完畢。點選 二次處理,查殺,反覆迴圈。
直至出現複合特徵碼定位結果
填充/特徵碼 區間設定,右擊特徵碼,選擇複合定位此特徵,選擇合適的分塊數量
迴圈二次處理 ,查殺
- 第二集 特徵碼修改的常用方法
C32asm
方法1 大小寫互換
選擇欲修改的字串,右擊 修改資料 ,選擇 大小寫翻轉
方法2 加1減1法 (這裡1也可以是其他數如2等)
十六進位制值,加1或減1
方法3 修改00
修改十六進位制值00(Nop),右擊 填充 ,使用十六進位制數填充 90
方法4 臨近程式碼換位
右擊 特徵碼,選擇 對應彙編模式編輯
右擊 原始碼,選擇 彙編,複製原始碼至記事本
右擊要替換的原始碼,選擇 彙編,貼上單擊 彙編
方法5 等價替換
替換意義相同的等價指令
- 第三集 跳轉法免殺
ollyDbg
搬運程式碼段到空段(十六進位制為0000)
選擇程式碼段,右擊 備份 複製到剪貼簿,貼上到記事本
選擇程式碼段,右擊 二進位制 使用NOP填充
選擇空段,右擊 複製 複製到剪貼簿,記錄空段首地址
在原始碼段(被填充的段),首地址,雙擊 彙編 jmp 空段首地址
查詢 空段首地址
雙擊 彙編 逐條輸入備份的原始碼段
JMP 原始碼段後一地址
全部修改完成後,右鍵 複製到可執行檔案——所有修改 儲存檔案
- 第四集 實戰鴿子過瑞星表面
- 第五集
空
- 第六集 實戰鴿子過金山表面
- 第七集 記憶體特徵碼定位
金山記憶體查殺
MYCCL
分成10個檔案
將10個檔案分別用OD載入,進行記憶體查殺
查出有毒的刪除 二次處理
- 第八集
空