淺談特徵碼修改技術&常見的殼

現在的防毒都很強...你只靠別人寫滴(舊)加殼、加花是無用地(VM不再討論範圍內)
像我剛嘗試一些簡單的...拿去掃毒結果跟沒弄一模一樣=  ="在記憶體下一切都打回原樣
只不過給Exeinfope有判斷錯誤~3~給想破我程式的一點麻煩罷了


簡單分析特徵碼修改技術

如果你想學習免殺技術:  1.基礎的彙編語言(ASM)
2.修改工具(不指那些傻瓜式軟件)。如:
OllyDbg . PEditor. .復合特徵碼定位器。UE .OC. 資源編輯器等。還有一些查殼 脫殼軟件(如:PEID RL脫殼機等) . 以下是常用的幾種免殺方法及工具:
一、要使一個木馬免殺
首先要準備一個不加殼的木馬,這點非常重要,否則 免殺操作就不能進行下去。 然後我們要木馬的內存免殺,從上面分析可以看出,目前的內存查殺,只有瑞星最強,其它殺毒軟件內存查殺現在還不起作用所以我們只針對瑞星的內存查殺,要進 行內存特徵碼的定位和修改,才能內存免殺。
二、對符其它的殺毒軟件
比如江民,金山,諾頓,卡巴。我們可以採用下面的方法,或這些方面的組合使用。
1>.入口點加1免殺法。
2>.變化入口地址免殺法
3>.加花指令法免殺法
4>.加殼或加偽裝殼免殺法。
5>.打亂殼的頭文件免殺法。
6>.修改文件特徵碼免殺法。
第三部分:免殺技術實例演示部分
一、入口點加1免殺法:
1.用到工具:PEditor
2.特點:非常簡單實用,但有時還會被卡巴查殺。
3.操作要點:用PEditor打開無殼木馬程序,把原入口點加1即可。
二、變化入口地址免殺法:
1.用到工具:OllyDbg,PEditor
2.特點:操作也比較容易,而且免殺效果比入口點加1點要佳。
3.操作要點:用OD載入無殼的木馬程序,把入口點的前二句移到零區域去執行,然後又跳回到入口點的下面第三句繼續執行。最後用PEditor把入口點改成零區域的地址。
三、加花指令法免殺法:
1.用到工具:OllyDbg,PEditor
2.特點:免殺通用性非常好,加了花指令後,就基本達到大量殺毒軟件的免殺。
3.操作要點:用OD打開無殼的木馬程序,找到零區域,把我們準備好的花指令填進去填好後又跳回到入口點,保存好後,再用PEditor把入口點改成零區域處填入花指令的著地址。
四、加殼或加偽裝殼免殺法:
1.用到工具:一些冷門殼,或加偽裝殼的工具,比如木馬綵衣等。
2.特點:操作簡單化,但免殺的時間不長,可能很快被殺,也很難躲過卡巴的追殺。
3.操作要點:為了達到更好的免殺效果可採用多重加殼,或加了殼後在加偽裝殼的免殺效果更佳。

縱橫間誰能相抗 論常見的殼與加殼技術

在這外殼程序風起云湧的幾年間,出現了無數優秀的外殼,CoDe_inJect 曾談過對幾種流行殼的看法,我斗膽結合他的言論描述一下現在常見的保護外殼:  ASProtect
無可爭議的外殼界老大,它開創了殼的新時代,SEH 與各種流行反跟蹤技術、多態變形引擎的使用(準確來說是從病毒中借用)、BPM 斷點清除等都出自於此;更為有名的當屬 RSA 算法的使用,使得 DEMO 版無法被破解成完整版;Code Dips也源於這裡;輸入表處理即使現在看來仍很強勁。開發殼應該學習它各種算法的熟練運用,而它最失敗之處就是反跟蹤過於溫柔,令破解者輕鬆研究。
tELock
大名鼎鼎的一款免費的保護軟件,具有較強的反跟蹤能力,用SEH控制 DRx結合內存校驗封殺了 BPM 斷點和SuperBPM 等工具。並有 BPE32 變形引擎產生很多異常代碼干擾跟蹤。輸入表的修復讓人頭痛了好一陣子,於此形成諷刺意味的是,輸入表在重定向之前會在內存中以完整的形態出現。值得一提的 是heXer 花費了數月零散時間,將它逆向並做出了一個加強版,稱之為 tELock X。
PELock
PELock應該是很多殼的綜合,輸入表處理、RSA算法、反跟蹤、清除斷點、SHE 都用到了,而且是第一個可以在Win98下檢測出IceDump的殼。在這個殼中第一次使用了清除代碼、加密代碼、鎖定代碼,使被加密的程序更難轉儲。
DBPE
這個殼在國內如日中天,奧妙在於哪裡?就在於反跟蹤做得比較完善,它是很早使用驅動的殼,雖然驅動的運用僅僅是為了在WinNT下切到Ring-0, 但開創了殼使用驅動的先例。輸入表處理一般,修改了中斷向量並使用其進行解碼,一些版本中有 MMXE 變形引擎使跟蹤起來眼花繚亂。可惜的是由於作者對 RSA 的錯誤理解,使破解者可以做出註冊機,且即使不註冊也可以脫殼。
SVKP
這個殼的有著深厚的背景, 那就是anticracking.sk 與DAEMON、 EliCZ等一大批傳說中的人物有著密切的關係,但是這個殼的反跟蹤和輸入表處理都不夠理想,可能跟作者的編碼能力有關吧。驅動在這個程序中使用比較熟 練,一些系統上會隱藏進程使得等工具遇到阻礙,運用了 KME 變形引擎使代碼在堆棧中執行,跟蹤起來困難重重。
Xtreme-Protector
如它的名字一樣,似乎是目前最強悍的殼,也是驅動程序使用最為熟練的殼,驅動有解碼、反跟蹤的作用,多線程的SMC使得程序的保護能力直線上升。令很多沒有硬件調試器的破解者望而卻步。
Star-Force
與 Xtreme-Protector不相伯仲的強大外殼,它的核心是一個偽代碼的解釋器,大大複雜了對其的研究工作;一部分導入函數的代碼是從系統庫中拷貝 出來並進行修改過的;一部分程序代碼只有在執行時候才解密出來。保護中還大量的應用了這些手段:檢測某些內存段的CRC 校驗和,經常地將DRx清零,利用RDTSC指令來控制解碼不同塊的解碼時刻,最後一塊代碼的解碼甚至通過截獲Int 0在 Ring-0 中進行。不過它多用於光盤加密,在共享軟件中並不多見。
Armadillo
當今猛殼之一,殼如其名擁有厚重的裝甲,加殼方式有兩種,一種是標準方式,另一種是CopyMem-II+Debug-Blocker,其標準加殼方式相對來說則容易的多。雙進程方式加殼的修復著實是一件令人頭疼的工作。

引用自-htbenet.net

留言

本月最夯

偷用電腦,怎知?事件檢視器全記錄!(開機時間、啟動項時間...)

楓之谷洋蔥4.1.2 - 最後更新日期04/03