过NOD32的技巧

社区服务
高级搜索
猴岛论坛电脑百科过NOD32的技巧
发帖 回复
正序阅读 最近浏览的帖子最近浏览的版块
4个回复

过NOD32的技巧

楼层直达
繁华de都市

ZxID:2491893

等级: 贵宾

举报 只看楼主 使用道具 楼主   发表于: 2010-04-14 0
研究出这个方法有好久了,平时不怎么搞手工免杀,我也不用,就发出来吧

进程的本质的线程,那么来个线程就好了,但是NOD32不是纯粹的高启发,还有传统查杀,异或加密一下代码段就可以了

方法是以前的,不知道现在还行不行,先说了再说,嘿嘿

1.异或加密代码段
2.写入以下几句作为入口点

push eax
push eax
push eax
push XXXXXXXX
push eax
push eax
CALL CreateThread
retn

XXXXXXXX地址是干什么的呢?就是解密+跳转到原入口点的指令了。。。。。。。。。。。。。。。。。。。

相关知识:
PE文件在刚载入的时候,默认EAX=0,ESP栈顶指向的地址是ExitThread函数,貌似这个函数会等待所有线程退出后才会返回
所以我们自己构造代码,把原入口点作为一个线程去运行,这样线程套着线程,高启发就困难了

如果这个方法失效了呢?嘿嘿,继续线程+线程+线程……+异或代码+异常……
特征免杀我都懒得做了,麻烦的要死

不过我还是喜欢特征免杀,能够学到很多东西……
最后附上CreateThread函数在SDK中的声明
HANDLE CreateThread(

  LPSECURITY_ATTRIBUTES lpThreadAttributes,

  DWORD dwStackSize,

  LPTHREAD_START_ROUTINE lpStartAddress,

  LPVOID lpParameter,

  DWORD dwCreationFlags,

  LPDWORD lpThreadId);



书山有路勤为径 学海无涯苦作舟
_____唯美

ZxID:11068515

等级: 上校

举报 只看该作者 4楼  发表于: 2010-04-14 0
看看
`_____★唯美


社会工程学

ZxID:11644013

等级: 少将
不要跟我谈技术,怕你不够档次.

举报 只看该作者 地板   发表于: 2010-04-14 0
路过
神秘组织,关注网络信息安全
@深情不及久伴

ZxID:10470282

等级: 贵宾
夏天的爱情。

举报 只看该作者 板凳   发表于: 2010-04-14 0
只能说路过了``
朕。只囿美色

ZxID:9836487

等级: 元老
年年岁岁人相似,岁岁年年花相同

举报 只看该作者 沙发   发表于: 2010-04-14 0
8错8错
这个好
« 返回列表
发帖 回复