|
- UID
- 2492
 金币- 23 枚
 威望- 0 点
 经验- 1 点
 体力- 6 点
- 在线时间
- 0 小时
|
首先是被帖子的标题吸引进来的;然后我自信的看了内容:对此做一下评价:
1、首先我想说,你下的马肯定不是随便下载的;如果你随便我传你鸽子你免杀给我看看;
加一个花就能过???加花是07年的免杀技术。。。那时候的瑞星垃圾就可以识别;
今年是(公元2011年了)
2、还有可能你是下载了人家已经免杀了马。大部分就是远控马,q马很好免杀,根本没有什么
特别的地方;
3、360是md5查杀,如果是不常见的马,只要修改一个字节就可以过掉360
----------------------------------------------------------------------------------------
以上说的都是表面:
那么我给你介绍下什么是免杀:
1、免杀就是逃避杀毒软件的查杀;
而杀软的查杀模式:表面查杀、内存查杀、行为查杀、主动查杀、云查杀(这个大家熟悉)
至于你测试的免杀效果,我不敢恭维;或许你传的www.virscan.org测试的,我告诉你;这个测试站就是一个骗子
有36%虚假测试结果。。。。另外,这个站查的都是表面,你可以去total看看,肯定然你自己失望;
2、NOD32,在2009年6月以前还是个垃圾;指针破坏可以直接秒杀它,随后修复了这个引擎的漏洞;
现在仅仅有表面查杀(要不能这么快吗);直接动态api函数,nod就哑巴了
3、卡巴之所以牛逼,是卡巴很综合;表面、内存、主动、行为、加上卡巴独特的虚拟机查杀。。。。
让卡巴独占鳌头,但是注定复杂的结构就有漏水的地方;对于驱动级别的木马卡巴很敏感,就是因为敏感;
才给木马以利用之机,用脑子想想就知道为什么。。。。
4、至于瑞星,就是二b,对于远控马查杀主动的一个函数,hook这个函数,自己构造一个函数就可以。。。。
test eax,eax
and eax,eax
瑞星也就停留在这个水平了;
5、金山杀的是数据流,更二了。不说了;
pushad
mov ebx,00401000 ,这个就算是code段的加密位置了;
mov dowrd ptr eax.[ebx]------这个可以传值。。。。
xor eax.1112222利用异或加密可以搞定code data idata段。资源的加密要注意上线信息的写入位置;
inc ebx
代码就不写了。。
6、还有不要老是膜拜国外的杀软,因为国内的马一般不去过国外的杀软,所以木马显得不给力;
要是有针对性,什么都是浮云
7、zp都进入无key解码的阶段了,就不要说什么加花免杀了。
特征码都过时了。多学习下吧。。。。
8、加密代码如果不想暴漏的话可以call调用,直接retn返回就ok'
---------------------------------------
国产的杀软确实很x,但是没有你描述的那么x;
不信你免杀了马跑下看看,行为查不查,主动查不查
不多说。
|
|
窥视卡
雷达卡
发表于 2010-12-3 21:44:54
显身卡
发表于 2010-12-6 11:44:00
发表于 2010-12-23 01:52:51