随笔分类 - 免杀
摘要:都说加双壳后强度会减弱,防破解强度会降低,但是在一定程度上是可以起到混淆作用,蒙蔽杀软的眼。 加双壳的思路,在之前洪雨已经提到过了。 原理是软件在加了加密压缩壳以后,释放其中的资源,再用其他的壳加一次。一般用压缩壳再加一次。 确实,这种方法可以迷惑一些小白,迷惑不了大神,因为一些特征都在那里呢。 这
阅读全文
摘要:以前看过软件通过效验自身体积来判断自己是否被脱壳。 后来听说可以通过自我效验md5来判断软件是否被动过手脚,一直没明白怎么写。因为那是一个死逻辑。 你编译后的软件才能计算出md5,然后你把命令写进软件里效验,但是重新编译后,软件的md5就变了。你的效验也就不成立了。这是一个先有鸡还是先有蛋的问题。
阅读全文
摘要:壳,本身是为了保护内部的软件,防破解,或者说免杀。 关于免杀,市面上几乎没有几个大神能从技术层面逃过360的法眼,除非是背后的权钱交易。 无论是什么加密加花加壳技术,遇到内存查杀都会原形毕露。而且360独创的白名单技术,不在我名单里的都是病毒,全部干掉。这谁受得了…… 之前洪雨提到的方法方式,最好用
阅读全文
摘要:压缩壳大胆设想,将程序转换为字节集,然后将字节集文本化,然后将两两数字用一个数字代替或者用一个字母代替,比如{5,6}我们变成文本{1}或者{a},这样文本就能省略一半。如果我们将处理过的文本再进行替代,比如处理后{a,c}我们再用{1}替代,这样字节集文本就变成原来的1/4。当运行的时候我们再进逆
阅读全文
摘要:运行时不停修改文件名,达到杀毒软件无法定位文件的目的 效果待考证 代码: .版本 2.支持库 spec .子程序 本地代码.参数 其他代码, 文本型.局部变量 全部代码, 文本型 全部代码 = 本地其他 ()文件更名 (其他代码, 全部代码)延迟 (100)处理事件 () 本地代码 (全部代码) .
阅读全文
摘要:HEUR/Malware.QVM06.Gen 一般情况下加数字签名可过 HEUR/Malware.QVM07.Gen 一般情况下换资源 HEUR/Malware.QVM13.Gen 加壳了 HEUR/Malware.QVM19.Gen 杀壳 (lzz221089提供 ) HEUR/Malware.Q
阅读全文
摘要:易语言有一些命令是一定会被拦截的。比如访问网页,文件读写。 因为白名单系统,特征码修改的方法变的越来越鸡肋了。 洪雨推荐自己的方法。 1.源码定位,首先删减源码,然后编译,如果报毒,继续删减,直到不报毒为止,定位出报毒的子程序。然后删减子程序的命令,进行编译,最终定位出报毒的命令。(大型软件就算了,
阅读全文
摘要:upx、aspack、fsg、Aspack Scrambler、ExeStealth、ID Application Protector、V2Packer、WWPack32、XComp0.98、bambam、BeRoEXEPacker、dePACK、ExeShield Protector、KByS、N
阅读全文
摘要:首先我们必须要认识原理问题。捆绑,几乎都是先将文件释放后在逐个运行,所以被捆绑文件自身必须免杀。 否则,就算捆绑在一起免杀了,运行的时候,一释放,立刻就会被杀掉。 自解压的制作方法我就不说了,洪雨提一下需要注意的一个点。 在框选文件的时候一定要先选择木马,再选择掩护文件,否则报毒几率会高。掩护文件,
阅读全文
摘要:思路很简单,主要是压缩包加密码,这样360也无法识别。 现将文件加密压缩,记住是zip格式。用到一个vbs来解压运行。 然后将两个文件再次捆绑为自解压,解压后运行这个vbs VBS代码: On Error Resume Next Set objWsh = CreateObject("Wscript.
阅读全文
摘要:易语言真的是非常容易被360报毒,几乎可以到90%以上。 但是其中还是有漏网之鱼!都说空的易语言程序也会报毒。但是,空的和空的还是有不同。 空程序中有“启动窗口将被销毁”会被报毒,去掉版本信息的勾,可以减少误报。 这是因为很多易语言编写的恶意程序,在启动窗口创建完毕下有命令,或者启动窗口被销毁下又命
阅读全文
摘要:空壳程序定义为,程序没有任何组件,没有任何代码,没有自动的加花。 1.直接生成,被主动防御杀。 2.加入启动窗口创建完毕和启动窗口将被销毁,被主动防御杀 3.去掉勾选 配置中写入版本信息,直接生成,免杀 4.加入启动窗口创建完毕和启动窗口将被销毁,去掉勾选 配置中写入版本信息,直接生成,免杀 5.直
阅读全文
摘要:这个方法非常的有趣,很简单,主要是一个思路。 用易语言编写dll非常的容易,都是中文可视。我这里写两个个例程 例程一 如果需要直接运行命令,直接在“_启动子程序”下调用就行了。 需注意的是,必须至少有一个子程序是公开的。也就是上图“子程序1”勾选公开。 例程二 例程二就是将dll文件写成一个exe程
阅读全文
摘要:北斗壳是一个老牌子国产壳,虽然已经过时了,但是不得不佩服国人的技术。 按照上面的配置可以再加ASPack 其实有的壳太强力,或者被muma用的太多了,本的标识就已经进入特征库里,就算正常软件加上这种壳,也会报毒。一切都随机应变吧
阅读全文
摘要:Themida 置入代码 ({ 235, 16, 87, 76, 32, 32, 12, 0, 0, 0, 0, 0, 0, 0, 87, 76, 32, 32 }) ' TMD VM开始 置入代码 ({ 235, 16, 87, 76, 32, 32, 13, 0, 0, 0, 0, 0, 0,
阅读全文
摘要:首先我们需要VMProtect。VMProtect是一款虚拟机保护软件,是目前最为流行的保护壳之一。VMProtect将保护后的代码放到虚拟机中运行,这将使分析反编译后的代码和破解变得极为困难。除了代码保护,VMProtect还可以生成和验证序列号,设置过期时间,限制免费更新等等。 免费下载VMpr
阅读全文
