上俩篇简单的介绍了文件免杀和源码免杀 各自的优缺点,那我们就正式开始从文件免杀由浅入深的讲解。由于是从基础知识深入文件免杀核心。

所以所讲的一些技巧会比较基础。不过我会尽量通过实战演示把基础知识变得生动,尽量不会显得那么枯燥。

直接进入主题,用到的远控是大灰狼远程管理V8.96。配置木马这个大家应该都会了,不会的看这篇《StarRat远控配置上线》文章。生成后用360扫一下看报毒的是什么引擎。

通过360扫描完成以后,可以看到报毒的是小红伞本地引擎。既然是小红伞本地引擎,我们就可以通过定位特征码找到木马程序的特征码。用到的工具是Mycc3.0, 具体怎么定位特征码可以看《MYCC定位特征码实战》这篇文章。

通过MYCC特征码定位工具的简单定位,得出了特征码的位置在0000793A,特征码大小在俩个字节。得出了特征码以后,别忘了用00填充试试看能不能免杀,能免杀我们才在进行修改也不迟。

修改特征码需要用到C32这个工具,把木马拖进C32选择十六进制载入。然后Ctrl+G 填入 MYCC 定位出来的特征码位置,点确认跳到特征码所在的位置。下面这就是特征码所在的位置。

由于特征码是占了俩个字节的,刚好3的前面是字符串大写的Y。那么我们就可以把这个大写的Y 进行大小写转换, 把大写Y替换成小写y。替换好以后点击另存为,至于能不能免杀掉小红伞本地引擎 我也不知道,需要进行测试。

经过测试后木马成功免杀掉了小红伞本地引擎,因为只是简单的修改了一下字符串,所有程序依然是可以正常运行的。

补充一点 上面左边的是十六进制码,十六进制码是从0开始F结束 没有10,所以我们修改的位置是00007939。

小红伞引擎是已经完美免杀了,那么大灰狼是不是也已经成功“ 免杀 ”了?

360号称拥有不死不灭之身,当然没那么容易被干掉,不然这对你就太没挑战性了。之所以大灰狼免杀了,那是因为我关闭了其他引擎。

你只是干掉了360五大守卫之一的小红伞高启发本地引擎,接下来你还要面对更厉害的对手, 360五大守卫之一 号称 拥有 超强学习能力 的QVM人工智能引擎。就问你害怕不害怕 颤抖不颤抖,预知后事如何请看下集分解。

最后修改日期:2019年9月3日

留言

撰写回覆或留言

发布留言必须填写的电子邮件地址不会公开。