了解PE文件才能做好的免杀
木马免杀基础知识

1.4 Section Table
PE Header 接下来的数组结构 Section Table (节表)。如果PE文件里有5个节,那么此 Section Table 结构数组内就有5个成员,每个成员包含对应节的属性、文件偏移量、虚拟偏移量等。图1中的节表有4个成员。
1.5 Sections
10.加壳(这个大家应该都会)
11.入口点加1(这个不说了,傻B都会哦)
12.垃圾代码清0(这个要一点汇编基础,能看懂哪些代码是没用的就行!)
13.这里省略!因为太多了~~
这些是比较普通的免杀方法,那么当然有很多变态免杀方法了。我们得先把这几种普通的免杀方法先掌握,在以后的教程中我会给大家公布一些我自己的免杀方法!
|--------------|
|PE Header |
|--------------|
|Section Table |
|--------------|
|Section 1 |
|--------------|
|Section 2 |
|--------------|
|Section ... |
常用免杀方法:
1.特征码定位
(主要是用CCL和MYCCL等工具定位出杀毒软件的特征码,然后对相应的特征码做适当的修改,从而实现免杀)优点:效果好。 缺点:费时间。
2.大小写替换(大小写转换)
3.指令顺序调换(把两个指令换个位子法不是很通用)
1.3 PE Header
紧接着 DOS Stub 的是 PE Header。它是一个 IMAGE_NT_HEADERS 结构。其中包含了很多PE文件被载入内存时需要用到的重要域。执行体在支持PE文件结构的操作系统中执行时,PE装载器将从 DOS MZ header 中找到 PE header 的起始偏移量。因而跳过了 DOS stub 直接定位到真正的文件头 PE header。
免杀技术详解

免杀技术详解减小字体增大字体逆流风注:本文是去年投给黑客X档案的,与那期的主题乐园内容重叠,故未被选上,我也不另投其他杂志,转贴请注明出处,保留版权。
一、加壳免杀壳按照性质不同可分为压缩壳和加密壳,使用压缩壳压缩过的软件体积会减小很多,我们常用的UPX、ASPACK、FSG就是压缩壳,加密壳是防止软件被破解而加的壳,常见的加密壳有tElock、幻影、ASProtect 等。
加壳免杀是我们常用的免杀方法,操作简单,但是免杀的时间不长,可能很快就被杀。
但是经过加花指令、修改特征码后再加壳,免杀效果就相当好了,所以我们还是有必要了解一下。
实例:用NEW、[MSLRH] v0.31a加壳免杀NEW是一款俄国人写的具有高压缩率的壳。
压缩率高,而且压缩后的程序基本不会被查杀,值得一用。
以疯狂qq大盗build0709无壳版为例,使用NEW加壳。
文件由原来的800K变成411K。
接下来我们再用加密壳[MSLRH] v0.31a来加密疯狂qq大盗build0709无壳版。
[MSLRH] v0.31a能伪装成其它壳。
先用PEiD查下疯狂qq大盗build0709无壳版,没加壳,用[MSLRH] v0.31a加壳,在“令PEiD(V.93)探测为:随便选一个壳名称,用ASPack吧。
加好后文件大小变成872K,再用PEiD探测,变成ASPack 了(如图1)。
下面对比一下加壳效果和免杀效果。
用瑞星查杀,两个加过壳的疯狂qq大盗都躲过了瑞星的表面查杀而没加壳的瑞星查出来了。
(如图2、图3)二、修改入口点免杀杀毒软件的杀毒引擎大多以文件的入口处来判断文件是否是病毒或木马。
我们通过修改文件的入口点能躲过大部分杀毒软件的查杀。
实例:将疯狂qq大盗build0709无壳版的入口点加1免杀修改入口点,我们使用的是Peditor。
首先,用Peditor打开将疯狂qq大盗build0709无壳版,看左上角文件性息中的入口点,疯狂qq大盗build0709无壳版的入口点是00063DC8,00063DC8+1=00063DC9,将入口点改为00063DC9,再点击“应用更改”,就OK了。
基于特征码的PE文件自动免杀策略

略与改进 的多重特征码定位算法相结合 , 在保持被 免杀软件原有功能的前提下 , 用等价代码替换技术、字符串与输 入表 函数名 位移 等方 使
法 自动进行特征码 的去除和替换 ,由此避免被杀 毒软件识 别为恶意软件 。实验结果验证了该策略的有效性。
关健词 :特征码 ;定位 ;免杀 ;P E文件 ;等价代码替换 ;输入表
中圈分 类号: P0. T 39 2
基 于特征码 的 P 文件 自动 免 杀 策略 E
吴 伟民,范 炜锋 ,王志月 ,李 晓峰 ,黄健炜
( 广东工业大学计算机 学院,广州 5 0 0 ) 0 6 1
摘
要 :设计一种以逐块恢 复法替代传统逐块替换法 的特征码定位算法 , 在此基础上提 出一种针对不 同区段进行 自动免杀的策略。将该策
a dp o o e n a t rea tvr tae y b s dO ifrn E s cin . d rtepe s an ann h rgn lf cin lyofs f r n r p ssa u ofe -n ii srtg ae f dfee tP e to s Un e h r mieof itiig teoi ia un to ai ot e us m t wa
D : 03 6 /i n10 —4 8 0 21.3 OI 1.9 9 .s.0 032 . 1 . 0 5 js 2 2
1 概述
在计算机应用领域,杀毒软件起维护系统安全的重 要作 用 ,但仍然存在误杀一些非恶意软件 的现象 。遭误杀的软件 主要分成两大类 :一是某些具有专 门用途 的软件 ,可能涉及
kln ya tvrs ot r. x ei na rsl ei e f ciees fh rt y iigb ni i f eE pr l - u s wa me tleutv r yt f t n s o te t e . s f hee v sa g
超全面的免杀技术经验总结

超全面的免杀技术经验总结免杀技术经验总结(感觉经典)学习免杀,首先你得学会汇编把,基础的指令要懂得一些,一般的指令修改必须会,一般的修改这里就不赘述了,接下来就是掌握一些常用的免杀技巧,这里总结一些第一:我们学习免杀的方向:只是为了保护自己的黑软的话!就不会学的那么累(没必去学汇编编程)有时候简单加下壳或者脱下壳就OK!如果是要挑战世界的杀毒软件的话,毕竟每个PC用户安装的杀软都不一样!想抓鸡拿服务器的朋友就要进修脱壳破解,高级汇编的内容了,这将决定你免杀技术的高低!第二:免杀的环境:做免杀,逃不了测试这个木马是不是修改成功!所以为了保护自己的系统,我建议学免杀要先学会使用虚拟机,很多人会说,为什么不用影子?影子系统虽然也是可以保护的,暂用资源又少,但是有些反弹型木马,我们运行后如果失败(即使成功)都需要重启来完成完全清除的工作!做过QQ盗号木马跟黑鹰远控软件免杀的朋友应该深有体会!第三:杀软的安装设置:个人建议安装卡巴,NOD32,小红伞,瑞星,金山!(当然配置好的电脑可以再加上江民,麦咖啡)!硬盘大的朋友建议全利用虚拟机安装杀软(方便以后重做系统,节省升级病毒库的时间)杀软的设置,可以说是很简单的!每安装完一个杀软,我们都要先在杀软设置里把监控跟自我保护的选项的钩去掉!然后升级病毒库!升级完后再关闭服务跟启动项(利用360安全卫士)这样安装其他的杀软就不会起冲突了!这里注意下!瑞星升级后会自己更改自己的服务为自动,所以瑞星建议最后装,最后升级,再关闭它的服务!这里我想大家肯定是关心杀软的序列号从哪来的吧!瑞星有体验版,金山有37天试用版,NOD32利用PPLOVE网络电视有180天试用!卡巴等洋货在百度上搜索均有可用的序列号!这个就是考验大家的细心了!呵呵!卡巴不建议装6.0.7.0的,人家都在央视打广告了,我们就装2009把!(虽然卡巴的启发比不上NOD32的,但是它的主动可是免杀爱好者的"粉丝")杀软的查杀特点:卡巴:主动+高启发扫描~~,效果相当厉害,卡巴的主动非常麻烦,SSDT也被封了,启发式也极难通过,还是要取决于木马本身的实力了,瑞星:国内木马的超级对手可以这么说!对国内的木马定位的特征是洋货的N倍(鸽子见证)主要查杀技术是内存查杀技术,但是对一些生僻的木马,内存病毒库里竟然没有,只要过了表面就可以过内存......主动主杀敏感字符串,不过2009的主动貌似改进了不少......广告卖的倒不错,但是只是针对流行木马!其他不常见木马并没有加大什么强度!NOD32:启发扫描的头领!主杀输入表函数,针对MYCCL定位器做过调整!定位建议用multiCCL这个来定位!不过这个大块头对生僻壳的侦壳能力不强!加些生僻壳把一些函数保护起来可以让它无用武之地!(这类壳主要是加密型,不建议用压缩型)金山:数据流查杀技术的代表!简单来说跟瑞星内存查杀技术有点一样!病毒库升级,查杀病毒速度都是超级快!但是杀毒能力比较上面的几款有点逊色!360与金山清理专家:行为查杀的代表,金山清理专家比360查杀力度还大!但是监控能力......实在不想说!不过360的5.0版加了木马云查杀,据说不是很好过(没试过~~~)以上可以说是所有集合杀软的特点:文件查杀,内存查杀,启发查杀,数据流查杀!行为查杀!主动防御!每个杀软都有自己的特点,一个人也不可能把全球杀软都安装起来研究,但是以上4个杀软跟一个辅助可以说全包括了病毒查杀特点!也不能说哪个不好,哪个很好!有些木马这个杀软杀不出来~~那个就可以杀出来!所以对于现在网上有些朋友对个别杀毒软件不重视,就会导致你所谓的"肉鸡"插翅难飞!嘻嘻!接下来就说说技巧方面的1.比如你定位一个特征码定位到了一个字符串上我们比如这个特征码定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run,遇到这个我想大家一定是修改大小写吧,但是有时候修改大小写还是被杀。
了解PE文件才能做好的免杀

了解PE文件才能做好的免杀一、前言(Preface)PE(“portable executable”,可移植的可执行文件)文件格式,是微软WindwosNT,Windows95和Win32子集①中的可执行的二进制文件的格式;在WindowsNT中,驱动程序也是这种格式。
它还能被应用于各种目标文件②和库文件中。
这种文件格式是由微软设计的,并于1993年被TIS(tool interface standard,工具接口标准)委员会(由Microsoft,Intel,Borland,Watcom,IBM,等等组成)所批准,它明显的基于COFF文件格式的许多知识。
COFF(“common object file fromat”,通用目标文件格式)是应用于好几种UNIX系统③和VMS④系统中的目标文件和可执行文件的格式。
Win32 SDK⑤中包含一个名叫<winnt.h>的头文件,其中含有很多用于PE格式的#define和typedef定义。
我将逐步地提到其中的很多结构成员名字和#define定义。
你也可能发现DLL文件“imagehelp.dll”很有用途,它是WindowNT的一部分,但其书面文件却很缺乏。
它的一些功用在“Developer Network”(开发者网络)中有所描述。
二、总览(General Layout)在一个PE文件的开始处,我们会看到一个MS-DOS可执行体(英语叫“stub”,意为“根,存根”);它使任何PE文件都是一个有效的MS-DOS可执行文件。
在DOS-根之后是一个32位的签名以及魔数0x00004550 (IMAGE_NT_SIGNATURE)(意为“NT签名”,也就是PE签名;十六进制数45和50分别代表ASCII码字母E和P----译者注)。
之后是文件头(按COFF格式),用来说明该二进制文件将运行在何种机器之上、分几个区段、链接的时间、是可执行文件还是DLL、等等。
电脑如何在PE模式下杀毒

电脑如何在PE模式下杀毒
工具/材料:
腾讯电脑管家
如果电脑中了毒或者中了敲竹杠病毒,导致电脑被锁或者其他原因怎么办?相信很多小伙伴会直接来一句送电脑店或者重新安装系统,不过这样要耽误很多时间,而且重装系统对需要消耗的时间也是非常多的,那么有什么巧妙的解决方法吗?安全模式也进不去,其实我们可以在PE下杀毒,今天就和大家分享几个方法
【从BIOS修改开机启动项】
1,今天和大家分享的是从U盘启动进入PE下杀毒,在电脑开机出了主板的LOGO后,快速不停的按F2键,然后就会进入BIOS了
2,在BIOS中,虽然由于启动项设置的方法不同,但都是先找到BOOT这个选项,找到后,在里面选择第一启动项为USB启动
【制作U盘启动】
1,设置好启动项后,我们可以随便拿一个U盘,到其他能正常启动的电脑上,其实启动U 盘也有卖的,不过咱自己制作更安全省钱
2,把U盘连接到电脑上后,百度搜索【U盘启动】然后任意下载一个软件,安装打开后一键制作U盘启动器,放自己的电脑上,就会进入PE了
【PE下给电脑杀毒】
1,电脑进入PE系统后,下一步我们就需要给电脑进行杀毒了,PE下其实同样可以下载杀
毒软件,比如腾讯电脑管家,然后找到【病毒查杀】功能
2,找到这个功能后,然后打开,选择【全盘扫描】,然后它会自动检测电脑上面的木马病毒,然后等扫描结束后,对木马病毒进行清理就可以了。
免杀入门

(1)表面查杀
(2)内存查杀
(3)行为查杀.
--------------------------------------------------------------------------------------------------------
1.加壳
2.改壳
3.加花
4.反调试
5.PE变形
6.加壳,改壳,加花,变形花,变异反调试
免杀常用工具
(1)LordPE
LordPE:是一款功能强大的pe文件分析、修改、脱壳软件。
(2)Restorator
Restorator:一个简单易用的中文化工具程式。完全采用档案总管介面的操作方式,支援拖曳档案至编辑视窗操作,可简易的将资源档案拖曳到介面内资料夹,内置编辑功能视窗,修改後可用拖曳方式取代原来资源後直接回存档案。支援编辑的资源类型包括有:功能表、对话框、字串、游标、图示、点阵图等。而且也可以先将资源汇出成RC、RES资源档。
壳:压缩壳,保护(加密)壳。
---------------------------------------------------------------------------------------------------------------------------
无特征码免杀的概念
免杀的常用名词
病毒特征码:就是从病毒体内不同位置提取的一系列字节,杀毒软件就是通过这些字节及位置信息来检验某个文件是否病毒。
PE头:就是windows中特有的可执行文件头.
函数:在数学意义上,一个函数表示每个输入值对应唯一输出值。
花指令:意思是程序中有一些指令,由设计者特别构思,希望使反汇编的时候出错,让破解者无法清楚正确地反汇编程序的征码免杀,源码免杀。
制作PE光盘杀毒

如何使用Windows PE 杀毒?大家在使用电脑的过程中或多或少都会遇到过感染病毒木马的事情。
一般在此情况下我们都直接使用杀毒软件来解决问题。
但是有时候我的杀毒软件无法启动,甚至是安全模式都无法进入,可是又不想重装系统,那该怎么办?别担心,只要有Windows PE光盘的存在,一切问题几乎都可以迎刃而解。
先来说说什么是Windows PE吧,Windows PE的英文全称叫“Windows PreInstallation Environm ent”,中文名叫“Windows 预安装环境”,说白了就是另一种的Windows操作系统,也可以理解为Windows操作系统的极端简化版,它甚至可以安装在光盘上,从光盘就可以启动Windows PE,而不需要借助硬盘来进入Windows。
我们这里主要讲的,就是安装在光盘上的Windows操作系统,我们叫它“Windows PE光盘”。
市面上集成杀毒软件的Windows PE光盘品种繁多,这里挑选两种比较普遍使用的集成杀毒软件的光盘进行介绍,一种是电脑迷杂志的配套光盘(集成Nod32),另一种就是老毛桃PE光盘(集成卡巴斯基)。
在开始讲述之前,请先把您电脑的启动设备顺序设为光驱第一启动。
(怎么设置可以参考主板或者品牌电脑说明书)。
先来说说第一种的,电脑迷配套光盘吧。
现在在很多报刊亭或者书店上我们都可以买得到电脑迷杂志,上面的配套光盘集成了一个带Nod32杀毒软件的Windows PE光盘(其实除了Windows PE之外该光盘还附有其他的工具),该光盘除了有杂志里面所提到的部分资源以外更重要的是它里面还附带了包括Windows PE在内的众多工具。
可以杀毒是它的一个特色。
使用该光盘的好处就是,不需要经过太复杂的设置,即可完成杀毒操作。
把电脑设为光盘启动之后,在电脑启动的时候立刻把光盘放到光驱里面,然后电脑就会读取光驱,从光盘启动,显示如下界面(不同期数的光盘所显示的界面可能会略有不同,不过选项基本一样),选择“WinPE工具箱(含Nod32杀毒工具)”然后系统会自动进入到Windows PE系统,期间您可以不用进行任何的操作(您看到的界面是不是很熟悉)?进入Windows PE系统以后,点击桌面上的“Nod32”图标,打开Nod32的主程序。
详解 WinPE 修改制作 PE说明 各PE文件解说

详解WinPE 修改制作PE说明各PE文件解说一、什么是WinPEwinpe的全名是WindowsPreinstallationEnvironment(WinPE)直接从字面上翻译就是“Windows预安装环境”。
微软在2002年7月22日发布,它的原文解释是:“Windows预安装环境(WinPE)是带有限服务的最小Win32子系统,基于以保护模式运行的WindowsXPProfessional内核。
它包括运行Windows安装程序及脚本、连接网络共享、自动化基本过程以及执行硬件验证所需的最小功能。
”换句话说,你可把WinPE看作是一个只拥有最少核心服务的Mini操作系统。
微软推出这么一个操作系统当然是因为它拥有与众不同的系统功能,如果要用一句话来解释,我认为与Win9X/2000/XP相比,WinPE的主要不同点就是:它可以自定义制作自身的可启动副本,在保证你需要的核心服务的同时保持最小的操作系统体积,同时它又是标准的32位视窗API的系统平台。
二、WinPE的限制1.为了防止将它用作盗版操作系统,在连续使用24小时后WinPE将自动退出并重启。
2.你可从WinPE计算机通过网络直接访问服务器和共享。
但不能从网络上的另一个位置访问WinPE计算机上的任何文件或文件夹。
WinPE通过TCP/IP及其上的NetBIOS获得到达文件服务器的网络连接,不支持其他方法(如IPX/SPX网络协议)。
3.因为涉及反盗版,所以只能从Windows XP Professional CD建立WinPE的自定义版本。
而不能从Windows XP Home Edition或Windows 2002 Server操作系统家族的任何成员建立。
4.WinPE太大,不能放在软盘上。
WinPE仅包括可用Win32API的子集(包括I/O(磁盘和网络)和核心Win32API)。
如果Win32下运行的服务基于Win32API子集,则它在WinPE 是否可用需具体分析。
新手学习资料(认识免杀)

免杀技术都将这些绕过,我们可以看到,杀软每增加一个新功能,免杀新技术就应运而生
用一句古语说,免杀技术是与杀毒软件相生相克的.
学习免杀,你将领略到汇编与反汇编的快乐天堂!
参考资料:
《黑客免杀入门》是国内第一本详细介绍免杀起源、免杀发展史与免杀技术的书籍.
新手学习资料(认识免杀)!
一、什么是免杀
免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写Virus AV),逐字翻译为"反-反病毒",我们可以翻译为"反杀毒技术".单从汉语"免杀"的字面意思来理解,可以将其看为一种能使病毒木马避免被杀毒软件查杀的技术.但是不得不客观地说,免杀技术的涉猎面非常广,您可以由此轻松转型为反汇编、逆向工程甚至系统漏洞的发掘等其他顶级黑客技术,由此可见免杀并不简单.
it-32(十六进制编辑器,用于特征码的手工准确定位或修改)
特征码修改方法:
特征码修改包括文件特征码修改和内存特征码修改,因为这二种特征码的修改方法
是通用的.所以就对目前流行的特征码修改方法作个总节.
方法一:直接修改特征码的十六进制法
1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.
有毒之类的字你也许就不会对他感兴趣了吧,这就是伪装壳,把一种壳伪装成其他壳,干扰杀毒软件正常的检测.
2.加壳改壳
加壳改壳是病毒免杀常用的手段之一,加壳改壳原理是将一个木马文件加上upx壳或者其它壳后用lordpe将文件入口点加1,然后将区段字符全部去掉,然后用od打开免杀的木马在入口上下100字符内修改一些代码让杀毒软件查不出来是什么壳就不知道怎么脱就可以实现免杀的目的,但这种技术只有熟悉汇编语言的人才会,这种免杀方法高效可以一口气过众多杀软也是免杀爱好者应该学会的一种技术.
教你如何将你的木马躲过杀毒软件的查杀(制作免杀木马教程)

由于黑客网站公布的花指令过不了一段时间就会被杀软辨认出来,所以需要你自己去搜集一些不常用的花指令,另外目前还有几款软件可以自动帮你加花,方便一些不熟悉的朋友,例如花指令添加器等。
五.常见花指令代码
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
PUSH EDI
POP EAX
POP EAX
POP EAX
ADD ESP,68
POP EAX
MOV DWORD PTR FS:[0],EAX
POP EAX
POP EAX
POP EAX
POP EAX
MOV EBP,EAX
JMP 原入口
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
3选中设置中的 手动参数,,,,,选择替换方式 选中,,,总共生成规定个数的文件,,,生成个数为1000
免杀基础三步走之二(PE文件结构)

免杀基础三步走之二(PE文件结构)思绪燃星火2009-02-09 17:07:26 阅读4216 评论30 字号:大中小订阅题记:本文发表于《黑客X档案》08年第9期,这是在其中分离出的第二段。
转载请注明版权:/ 作者:A1Pass黑客反病毒论坛不知道通过上一节的学习与大家自己的努力,许多以前曾困惑不解的问题现在是否已经有了满意的答案。
如果自己认为理解的还不够,就多实践一下,多思考一会,多搜索一次,相信你会因此而变得不再平凡。
这一节就让我带领大家走进文件系统的底层——PE文件结构的学习与探究。
其实PE文件就是指Windows里的DLL与EXE文件,PE的意思就是Portable Executable,即可移植的执行体。
大家也可以将其与JPG文件或MP3文件等对应理解,也许这样就会揭开它的神秘面纱,显得更为亲近一些。
当然,PE文件要远比MP3等文件复杂得多,但是作为Windows操作系统里特有的一种可执行文件格式,只要我们能对其有一个大体的了解,就会使我们了解更多的免杀技术的本质,从而更加有效与正确的利用这些技术。
一、PE文件入门PE文件总的来说是由DOS文件头、DOS加载模块、PE文件头、区段表与区段5部分构成。
其实,如果在纯Windows 环境下运行,DOS文件头、DOS加载模块根本是用不上的,加上两个DOS相关的结构完全是为了兼容性问题。
为了方便观察与理解,我们可以通过观察图1大体了解PE文件的结构。
如图可知,整个程序就是以DOS文件头“MZ”开始的,接下来就是DOS加载模块“This program cannot be run in DOS mode”,几乎每个Windows程序的前面都是这样一些信息!下面有一个以字母“PE”为开头的文件块,这就是大名鼎鼎的PE文件头了,PE文件头的标准大小为224个字节,由图可见,里面有一个画了横线标记的问号与左面的十六进制信息“E0”相对应,这便是PE文件头体积的描述标记,十六进制的“E0”等于十进制的“224”由此也不难看出PE文件头的大小为224个字节。
PE文件结构

信息来源:噩靈戰隊[Evil-Soul Security Team]()最近很懒,懒得甚至不想做教程了,那么就给大家用文章代替吧,其实这个是不正确的,我以后尽量改。
呵呵,不废话了,今天我们主要讲一个知识,就是PE的文件结构到底是什么样的,我们大家做免杀的时候会很经常有人谈论什么PE头啊,什么表名啊等等。
今天我们就直观的来认识一下这个东西。
首先,我们来看一张图。
我的测试程序是PUBWIN2008破解伪装精灵,我以前去网吧没少用它。
我们可以看到,初始时在载入C32ASM的时候会停在物理地址为00000000处,这就表示这个程序开始被读入了,我们仔细观察这两个东西。
和这两个在每个程序载入后基本上都会出现这个,几乎是恒定不变的,但是也不一定,有的时候还会出现别的话,但是都差不多,我也没找到不一样的那个了。
对了,上面第二幅图的意思大概就是:“这个程序不能在DOS的模块下运行。
”好下面我们来看一下大名鼎鼎的PE头文件。
这个就是PE头文件了,那么PE头文件到底都有什么特征呢???我们来看一下,首先,在一个程序载入之后,会出现一个东西,这就是标志着PE头文件的开始,到哪里才结束呢??我们看一下PE这个字符所对应的物理地址:000000E0 我们换算到十进制就是224。
也就表明了,这个PE头文件的大小是224字节。
那么反映到物理地址后面的十六个十六进制的代码上是怎样转化的呢??就是14行的十六进制代码。
那么为什么是224字节,又为什么是14行呢?这还要跟十六进制与十进制的转换来看。
十六进制与十进制的转换:我们就举E0这个十六进制数来举例。
我们要算十六进制,首先,我们要明确每一个字幕代表什么,在十六进制中:A是10,B是11,C是12,D是13,E是14,F是15,G是16。
我们在吧十六进制推算到十进制的时候一般用如下方法:E 016^1 16^0将这个次方数和对应的十六进制代表的数的乘积加起来就构成了原来的十进制数,如这个就是14*16^1+0*16^0=224。
免杀木马的制作与防范

免杀木马的制作与防范作者:金良磊来源:《电脑知识与技术》2008年第01期木马相信很多人都知道,而木马的确比常规病毒更狠,监控你的操作,吞噬你的隐私,破坏你的数据。
有人要问,为什么我们的计算机安装了最新的杀毒软件,每天进行各种补丁的更新升级,还有防火墙的时时保护,为什么还会中木马呢?那是因为,有一种木马叫免杀。
一、什么是免杀?免杀是个相对词,针对目前的技术而言,多数木马都不能避免会被杀毒软件监控到并杀掉的危险,于是木马的实用性就低很多。
为了能避开杀毒软件的识别,黑客们开始从木马下手,通过各种手段“重新包装”木马,让它在杀毒软件的眼皮底下蒙混过关,这就是所谓的免杀。
二、制作免杀木马下面我们来看看黑客们是通过何种方法制作完成免杀木马的:我们首先制作一个普通的灰鸽子木马服务端取名mmsetup.exe,然后登录/zh-cn/网站把mmsetup.exe灰鸽子木马服务端上传过去,通过多引擎系统中扫描,你可以发现,绝大多数的杀毒引擎都能够识别出该木马程序,木马成功率只有10%简直可以忽略了,木马也就没意义了!(如图1)同时,针对这个mmsetup.exe我们对它进行免杀设置,一般常用的免杀方法为加密代码、花指令、加壳、修改程序入口以及手工DIY PE,至于纯手工操作并不推荐,因为这种方法制作出的程序效果虽好,但太过复杂,需要很强的汇编语言基础,并对Windows内核有一定认识。
1、代码修改法MaskPE内含多种信息模块,可以方便的修改程序指令,打乱源代码,针对利用代码识别病毒的安全软件很有效果。
下载Maskpe2.0运行起来,点击“LoadFile”按钮,通过路径选择桌面上的mmsetup.exe木马,然后在“Select Information”项里选择“PE Information”项,接着点击“Make File”在新生成的木马名字里填上“mmsetup1.exe”,最后单击“保存”按钮完成木马修改。
免杀

加花是病毒免杀常用的手段,加花的原理就是通过添加加花指令(一些垃圾指令,类型加1减1之类的无用语句)让杀毒软件检测不到特征码,干扰杀毒软件正常的检测。加花以后,一些杀毒软件就检测不出来了,但是有些比较强的杀毒软件,病毒还是会被杀的。这可以算是“免杀”技术中最初级的阶段。 4.改程序入口点 5.改木马文件特征码的5种常用方法(参见“修改内存特征码”) 6.还有其它的几种免杀修改技巧 修改内存特征码: 1.直接修改特征码的十六进制法 2.修改字符串大小写法 3.等价替换法 4.指令顺序调换法 5.通用跳转法 小结:免杀在某种程度上可以说是杀毒软件的对立面,这种技术随着杀毒软件的升级而升级, 从最初的表面查杀到现在的木马行为防御(瑞星),文件实时防毒(金山)等等, 免杀技术都将这些绕过,我们可以看到,杀软每增加一个新功能,免杀新技术就应运而生 用一句古语说,免杀技术是与杀毒软件相生相克的。 学习免杀,你将领略到汇编与反汇编的快乐天堂! 4.最新的无特征免杀法 何为无特征免杀法?就是脱离传统的定位方法,直接盲免,就对于整体区段进行异或加密,是整体代码发生变换,从而逃脱,杀毒软件的查杀,是当今最流行的方法。
编辑本段手工免杀分类
1.文件免杀和查杀:在不运行程序的前提下使用用杀毒软件进行对该程序的扫描,所得结果。 2.内存的免杀和查杀:判断的方法1>运行后,用杀毒软件的内存查杀功能. 2>用OD载入,用杀毒软件的内存查杀功能.
编辑本段什么叫特征码
1.含意:能识别一个程序是一个病毒的一段不大于64字节的特征串。 2.为了减少误报率,一般杀毒软件会提取多段特征串,这时,我们往往改一处就可达到免杀效果,当然有些杀毒软件要同时改几处才能免杀。 3.下面用一个示意图来具体来了解一下特征码的具体概念。
免杀教程

那我们该怎么办呢?其实简单的很,只要在重新改一下输入表函数的名称就可以了(如图16)。
有的时候因为我们所填写的地址为比较靠后的,例如我们现在改的这个000B9D5E,后面仅能容纳两个字节,所以更改输入表函数时只能键入两个字,对于这种情况我们可以先把Thunk里的信息改成如000B9D60这样的起始地址,改输入表函数名更改完毕后在将000B9D60改回原来的值(既000B9D5E),保存后即可成功,我们试一下看看(如图17)。
2.免杀分类
免杀的方法有很多,无奈没见哪为朋友综合系统的介绍,也苦了小菜们求学无门,只好掏银子找“师傅”,所以我就自告奋勇站出来一次,不足之处还请各位高手多多包涵……
我个人总结的免杀方法总共分两类,即主动免杀与被动免杀。
一、主动免杀
1.修改字符特征:主动查找可能的特征码,包括木马文件修改注册表、生成新文件的名称与路径、注入的进程名等动作,也包括运行过程中可能出现或一定会出现的字符等文件特征。然后找出这些字符,并将其修改。
[PE文件小知识:PE文件是WINDOWS系统中特有的一种文件结构,它包括PE文件头、输入表与相关资源文件等等]
经过我的测试,直接单独修改文件内部的输入表函数会导致程序运行不正常甚至崩溃!那就没有办法了吗?我可没那么容易认输!经过一翻苦战,终于让我在LordPE中找到了解决办法,同时FoBnN的文章也给了我非常大的启发……
当特征码定义出来之后,就会被提交到另外的一个部门,然后进入病毒定义库,当用户更新后,以后杀毒软件在碰到符合要求的文件时就会将其毫不忧郁的杀掉!也就是说,杀毒软件只认特征码,不认文件。
由此可见,病毒防御工作者寻找特征码的方式也不过如此,但这只是定义病毒文件特征码的工作,别的例如修复被感染文件等技术步骤和本文无关,在这也就不介绍了,有兴趣的朋友可以自己研究一下。
电脑如何彻底杀毒

电脑如何彻底杀毒
电脑彻底杀毒方法一
pe 系统杀毒
制作pe启动盘,ghost 系统光盘一般也会带有pe系统。
将pe 系统插入电脑,进入启动菜单或者bios ,选择u盘(如果使用光盘,则启动。
pe系统最好是带网络功能的,这样云杀毒才可以起作用。
这里使用的是“完美pe”,在启动界面选择进入pe系统。
pe 系统的桌面跟普通系统的桌面基本相同,操作简单。
进入之后,运行杀毒软件或急救箱杀毒即可。
由于pe 系统属于精简版的系统,并不是所有程序都可以在pe系统下运行。
如急救箱必须使用pe系统版本的急救箱,本人所使用的pe系统自带杀毒软件。
电脑彻底杀毒方法二
安全模式杀毒
有很多人在中毒后选择重装系统还有一个原因,是因为电脑无法正常开启,或者中了病毒后电脑中所有软件无法使用,这种情况下应该怎么杀毒呢?其实在我们的电脑中还有一个隐藏的安全模式系统,打开的方法就是在电脑按下开机键后,不停按f8选择进入【安全模式】
2 进入安全模式后,你会发现电脑界面主题什么的很像最早
windows经典版的界面,其实是在安全模式下,所有第三方驱动和病毒是无法运行的,所以在安全模式下我们就可以使用杀毒软件了,直接继续重复按上面的杀毒方法,在安全模式下杀毒即可。
分享下木马免杀的个人经验-电脑资料

分享下木马免杀的个人经验-电脑资料PE类:EXE. dll1.脱壳解密脱壳在木马免杀中由为重要!,。
所以希望大家好好学习脱壳脱壳的好坏直接影响到木马免杀效果(如果不完全脱壳,在<定位内存特征码>可能会使定位中没发现特征码但是运行中又发现木马。
)2.定位特征码一般从大范围定位后逐渐缩小范围(字节型)(个数型)一般从生成100个数的大致定位特征码后转入字节型定位。
单一文件特征码定位:CLL MYCLL multiCCL复合文件特征码定位:MYCLL multiCCL内存特征码定位:OD(一半一半定位) MYCLL multiCCL [一般都要确定你的文件是否完美完全脱壳后在进行文件特征码定位]3.特征码修改简单的等效代码转换如下:(不过有时改后也损坏文件所以看情况)push 变popje 变jnzadd 变 subadd ecx,2 可以改为sub ecx,-2加ecx内存器+2 减ecx内存器-2 - -2得=2上面的等效代码用不了还是乖乖用,JMP跳转法把特征码转移4.附加数据加密算法变形这个方法已经被pcshare冰雨发布了,就是pcshare附加数据的配置信息是xor 加密的。
被杀毒定义了所以我们只要改算法 xor 值变一下就可以了!5.RAR自解压(加密)说白就是捆绑而已呵呵,不过去除右键对部分杀毒有效无法分离出木马!可以躲避查杀而且可变性比较强所以还有用武之地!*******************************************************网页木马类: JS html htm asp 等1.拆分变量,电脑资料《分享下木马免杀的个人经验》(https://www.)。
用&连接符号,拆分变量2.加入垃圾代码。
和PE免杀花指令差不多,一些无用的垃圾变量或者空格一些特殊字符或者GIF98 类似的文件头来做“花指令”呵呵!3.等值代码修改把html全部改htm 效果一样4.代码添零在记事本中加入空格,然后用16进制的编辑器(Uedit32)打开把空格对应(20)替换成(00)即可该方法运用广泛。
PE区段修改免杀比看

PE区段修改免杀比看【1】PE文件格式PE(Portable Executable)是Win32平台下可执行文件遵守的数据格式。
常见的可执行文件(如"*.exe"和"*.dll"文件)都是典型的PE文件。
一个可执行文件不光包含了二进制的机器代码,还会自带许多其他信息,如字符串、菜单、图标、位图、字体等。
PE 文件格式规定了所有的这些信息在可执行文件中如何组织。
在程序被执行时,操作系统会按照PE文件格式的约定去相应的地方准确地定位各种类型的资源,并分别装入内存的不同区域。
如果没有这种通用的文件格式约定,试想可执行文件装入内存将会变成一件多么困难的事情!PE文件格式把可执行文件分成若干个数据节(section),不同的资源被存放在不同的节中。
一个典型的PE文件中包含的节如下。
.text 由编译器产生,存放着二进制的机器代码,也是我们反汇编和调试的对象。
.data 初始化的数据块,如宏定义、全局变量、静态变量等。
.idata 可执行文件所使用的动态链接库等外来函数与文件的信息。
.rsrc 存放程序的资源,如图标、菜单等。
除此以外,还可能出现的节包括“.reloc”、“.edata”、“.tls”、“.rdata”等。
提示:如果是正常编译出的标准PE文件,其节信息往往是大致相同的。
但这些section的名字只是位了方便人的记忆与使用,使用Microsoft Visual C++中的编译指示符#pragma data_seg()可以把代码中的任意部分编译到PE的任意节中,节名也可以自己定义。
如果可执行文件经过了“加壳”处理,PE的节信息就会变得非常“古怪”。
在Crack和反病毒分析中需要经常处理这类古怪的PE文件。
【2】虚拟内存Windows的内存可以被分为两个层面:物理内存和虚拟内存。
其中,物理内存非常复杂,需要进入Windows内核级别Ring0才能看到。
通常,在用户模式下,我们用调试器看到的内存地址都是虚拟内存。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
了解PE文件才能做好的免杀一、前言(Preface)PE(“portable executable”,可移植的可执行文件)文件格式,是微软WindwosNT,Windows95和Win32子集①中的可执行的二进制文件的格式;在WindowsNT中,驱动程序也是这种格式。
它还能被应用于各种目标文件②和库文件中。
这种文件格式是由微软设计的,并于1993年被TIS(tool interface standard,工具接口标准)委员会(由Microsoft,Intel,Borland,Watcom,IBM,等等组成)所批准,它明显的基于COFF文件格式的许多知识。
COFF(“common object file fromat”,通用目标文件格式)是应用于好几种UNIX系统③和VMS④系统中的目标文件和可执行文件的格式。
Win32 SDK⑤中包含一个名叫<winnt.h>的头文件,其中含有很多用于PE格式的#define和typedef定义。
我将逐步地提到其中的很多结构成员名字和#define定义。
你也可能发现DLL文件“imagehelp.dll”很有用途,它是WindowNT的一部分,但其书面文件却很缺乏。
它的一些功用在“Developer Network”(开发者网络)中有所描述。
二、总览(General Layout)在一个PE文件的开始处,我们会看到一个MS-DOS可执行体(英语叫“stub”,意为“根,存根”);它使任何PE文件都是一个有效的MS-DOS可执行文件。
在DOS-根之后是一个32位的签名以及魔数0x00004550 (IMAGE_NT_SIGNATURE)(意为“NT签名”,也就是PE签名;十六进制数45和50分别代表ASCII码字母E和P----译者注)。
之后是文件头(按COFF格式),用来说明该二进制文件将运行在何种机器之上、分几个区段、链接的时间、是可执行文件还是DLL、等等。
(本文中可执行文件和DLL文件的区别在于:DLL文件不能被启动,但能被别的二进制文件使用,而一个二进制文件则不能链接到另一个可执行文件。
)那些之后,是可选头(尽管它一直都存在,却仍被称作“可选”----因为COFF文件格式仅为库文件使用一个“可选头”,却不为目标文件使用一个“可选头”,这就是为什么它被称为“可选”的原因)。
它会告诉我们该二进制文件怎样被载入的更多信息:开始的地址呀、保留的堆栈数呀、数据段的大小呀、等等。
可选头的一个有趣的部分是尾部的“数据目录”数组;这些目录包含许多指向各“节”数据的指针。
例如:如果一个二进制文件拥有一个输出目录,那么你就会在数组成员“IMAGE_DIRECTORY_ENTRY_EXPORT”(输出目录项)中找到一个指向那个目录的指针,而该指针指向文件中的某节。
跟在各种头后面我们就发现各个“节”了,它们都由“节头”引导。
本质上讲,各节中的内容才是你执行一个程序真正需要的东西,所有头和目录这些东西只是为了帮助你找到它们。
每节都含有和对齐、包含什么样的数据(如“已初始化数据”等等)、是否能共享等有关的一些标记,还有就是数据本身。
大多数(并非所有)节都含有一个或多个可通过可选头的“数据目录”数组中的项来参见的目录,如输出函数目录和基址重定位目录等。
无目录形式的内容有:例如“可执行代码”或“已初始化数据”等。
+-------------------+| DOS-stub | --DOS-头+-------------------+| file-header | --文件头+-------------------+| optional header | --可选头|- - - - - - - - - -|| data directories | --数据目录+-------------------+| section headers | --节头+-------------------+| section 1 | --节1+-------------------+| section 2 | --节2+-------------------+| ... |+-------------------+| section n | --节n+-------------------+三、DOS-根和签名(DOS-stub and Signature)DOS-根的概念很早从16位windows的可执行文件(当时是“NE”格式⑥)时就广为人知了。
根原来是用于OS/2⑦系统的可执行文件的,也用于自解压档案文件和其它的应用程序。
对于PE文件来说,它是一个总是由大约100个字节所组成的和MS-DOS 2.0兼容的可执行体,用来输出象“this program needs windows NT”之类的错误信息。
你可以通过确认DOS-头部分是否为一个IMAGE_DOS_HEADER(DOS头)结构来认出DOS-根,它的前两个字节必须为连续的两个字母“MZ”(有一个#define IMAGE_DOS_SIGNATURE的定义是针对这个WORD单元的)。
你可以通过跟在后面的签名来将一个PE二进制文件和其它含有根的二进制文件区分开来,跟在后面的签名可由头成员'e_lfanew'(它是从字节偏移地址60处开始的,有32字节长)所设定的偏移地址找到。
对于OS/2系统和Windows系统的二进制文件来说,签名是一个16位的word单元;对于PE文件来说,它是一个按照8位字节边界对齐的32位的longword单元,并且IMAGE_NT_SIGNATURE(NT签名)的值已由#defined定义为0x00004550(即字母“PE/0/0”----译者)。
四、文件头(File Header)要到达IMAGE_FILE_HEADER(文件头)结构,请先确认DOS-头“MZ”(起始的2个字节),然后找出DOS-根的头部的成员“e_lfanew”,并从文件开始处跳过那么多的字节。
在核实你在那里找到的签名后,IMAGE_FILE_HEADER(文件头)结构的文件头就紧跟其后开始了,下面我们将从头至尾的介绍其成员。
1)第一个成员是“Machine(机器)”,一个16位的值,用来指出该二进制文件预定运行于什么样的系统。
已知的合法的值有:IMAGE_FILE_MACHINE_I386 (0x14c)Intel 80386 处理器或更高0x014dIntel 80386 处理器或更高0x014eIntel 80386 处理器或更高0x0160R3000 (MIPS⑧)处理器,大尾⑨IMAGE_FILE_MACHINE_R3000 (0x162)R3000 (MIPS)处理器,小尾IMAGE_FILE_MACHINE_R4000 (0x166)R4000 (MIPS)处理器,小尾IMAGE_FILE_MACHINE_R10000 (0x168)R10000 (MIPS)处理器,小尾IMAGE_FILE_MACHINE_ALPHA (0x184)DEC Alpha AXP⑩处理器IMAGE_FILE_MACHINE_POWERPC (0x1F0)IBM Power PC,小尾2)然后是“NumberOfSections(节数)”成员,16位的值。
它是紧跟在头后面的节的数目。
我们以后将讨论节的问题。
3)下一个成员是时间戳“TimeDateStamp”(32位),用来给出文件建立的时间。
即使它的“官方”版本号没有改变,你也可通过这个值来区分同一个文件的不同版本。
(除了同一个文件的不同版本之间必须唯一,时间戳的格式没有明文规定,但似乎是按照UTC 时间“从1970年1月1日00:00:00算起的秒数值”----也就是大多数C语言编译器给time_t标志使用的格式。
)这个时间戳是用来绑定各个输入目录的,我们稍后再讨论它。
警告:有一些链接器往往将时间戳设为荒唐的值,而不是如前所述的time_t格式的链接时间。
4-5)成员“PointerToSymbolTable(符号表指针)”和成员“NumberOfSymbols(符号数)”(都是32位)都用于调试信息的。
我不知道该怎样去解读它,并且我发现该指针的值总为0。
6)成员“SizeOfOptionalHeader(可选头大小)”(16位)只是“IMAGE_OPTIONAL_HEA DER(可选头)”项的大小,你能用它去验证PE文件结构的正确性。
7)成员“Characteristics(特性)”是一个16位的,由许多标志位形成的集合组成,但大多数标志位只对目标文件和库文件有效。
具体如下:位0 IMAGE_FILE_RELOCS_STRIPPED(重定位被剥离文件)表示如果文件中没有重定位信息,该位置1,这就表明各节的重定位信息都在它们各自的节中;可执行文件不使用该位,它们的重定位信息放在下面将要描述的“base relocation”(基址重定位)目录中。
位1 IMAGE_FILE_EXECUTABLE_IMAGE(可执行映象文件)表示如果文件是一个可执行文件,也即不是目标文件或者库文件时,置1。
如果链接器尝试创建一个可执行文件,却因为一些原因失败了,并保存映像以便下次例如增量链接时使用,此时此标志位也可能置1。
位2 IMAGE_FILE_LINE_NUMS_STRIPPED(行数被剥离文件)表示如果行数信息被剥除,此位置1;此位也不用于可执行文件。
位3 IMAGE_FILE_LOCAL_SYMS_STRIPPED(本地符号被剥离文件)表示如果文件中没有关于本地符号的信息时,此位置1(此位也不用于可执行文件)。
位4 IMAGE_FILE_AGGRESIVE_WS_TRIM(强行工作集修剪文件)表示如果操作系统被假定为:通过将正在运行的进程(它所使用的内存数量)强行的页清除来修剪它的工作集时,此位置1。
如果一进程是大部分时间处于等待,且一天中仅被唤醒一次的演示性的应用程序之类时,此位也应该被置1。
位7 IMAGE_FILE_BYTES_REVERSED_LO(低字节变换文件)和位15IMAGE_FILE_BYTES_REVERSED_HI(高字节变换文件)表示如果一文件的字节序不是机器所预期的形式,因此它在读入前必须调换字节时,此位置1。
这样做对可执行文件是不可靠的(操作系统期望可执行文件都已经被正确地按字节排整齐了)。
位8 IMAGE_FILE_32BIT_MACHINE(32位机器文件)表示如果使用的机器被期望为32位的机器时,此位置1。
现在的应用程序总将此位置1;NT5系统可能工作不同。
位9 IMAGE_FILE_DEBUG_STRIPPED(调试信息被剥离文件) 表示如果文件中没有调试信息,此位置1。