这处驱动文件特徵怎麽改呢请求指点技术交流浏览黑客论坛黑客防线

qwertfg

等级: 普通用户

发贴: 138 贴
货币: 0 金币
积分: 445 分
经验: 2830 点
体力: 10795 点
注册: 2007-11-20

这处驱动文件特徵怎麽改呢请求指点

卡巴特徵000003A2
还请各位大哥大姐指点迷津

2008-8-18 23:40:10

sharknt

等级: 普通用户

发贴: 32 贴
货币: 0 金币
积分: 260 分
经验: 201 点
体力: 1725 点
注册: 2008-05-28

Re:这处驱动文件特徵怎麽改呢请求指点

我对汇编只是略懂一二, 对驱动免杀不是很了解……   有错误的地方还请指正，谢谢````

   第二张图里面的xor eax,eax是用来将eax清零的，只占2个指令，效率比mov eax,0高，后者占了5个指令，所以要直接改估计很困难了……  如果没有直接的跳转到此句的话，可以考虑在104F0的过程最后将eax清零，然后nop掉此句……
   第三张图是将eax的低位加1，改成inc al应该可以……  试试吧```

2008-8-19 11:05:04

qwertfg

等级: 普通用户

发贴: 138 贴
货币: 0 金币
积分: 445 分
经验: 2830 点
体力: 10795 点
注册: 2007-11-20

Re:这处驱动文件特徵怎麽改呢请求指点

这3张图都是同一个驱动文件我怕不清楚所以都贴上来了
就只有这卡巴特徵而已000003A2

2008-8-19 11:26:00

VIP技术支持2

等级: 黑客防线技术团队
勋章:

发贴: 1899 贴
货币: 34 金币
积分: 6821 分
经验: 29086 点
体力: 112770 点
注册: 2007-05-25

Re:这处驱动文件特徵怎麽改呢请求指点

xor eax, eax 改为 sub eax, eax

.....................................

2008-8-19 15:15:47

qwertfg

等级: 普通用户

发贴: 138 贴
货币: 0 金币
积分: 445 分
经验: 2830 点
体力: 10795 点
注册: 2007-11-20

Re:这处驱动文件特徵怎麽改呢请求指点

还是被杀了

2008-8-19 21:38:47

VIP技术支持2

等级: 黑客防线技术团队
勋章:

发贴: 1899 贴
货币: 34 金币
积分: 6821 分
经验: 29086 点
体力: 112770 点
注册: 2007-05-25

Re:这处驱动文件特徵怎麽改呢请求指点

sub eax, eax因为仅修改了一个字节。也就是将xor对应的机器码修改为sub对应的机器码。如果被杀就将其偏移的机器码多修改下啊。。看下上面的call如果没返回值的话，就将其和下面的xor语句调换下。。

免杀和逆向一样，要学会多个工具搭配。驱动文件如果想更好的分析，最好用IDA看。。

.....................................

2008-8-19 22:46:05

cricketol

等级: 银牌VIP

发贴: 49 贴
货币: 0 金币
积分: 280 分
经验: 160 点
体力: 2030 点
注册: 2006-02-09

Re:这处驱动文件特徵怎麽改呢请求指点

你可以JMP走,然后又JMP回来
不过要保证所有寄存器在JMP之前和之后的值相同

2008-8-19 23:21:59

付天顺

等级: 黑客防线技术团队

发贴: 206 贴
货币: 0 金币
积分: 1651 分
经验: 1884 点
体力: 7285 点
注册: 2007-09-01

Re:这处驱动文件特徵怎麽改呢请求指点

JMP通常会出事儿，而且对卡巴貌似特别不管用我也不知道为什么从前天晚上到昨天下午一直在做卡巴免杀，奋战两天两夜才过...郁闷可能自己免杀功底不好~呵呵。
最后过卡巴的方法是，随便找了个捆绑机，捆绑一下之后，再定位...

2008-8-20 13:04:16

窒息式睡眠

等级: 钻石VIP

发贴: 115 贴
货币: 0 金币
积分: 5173 分
经验: 4855 点
体力: 44715 点
注册: 2008-05-14

Re:这处驱动文件特徵怎麽改呢请求指点

天顺。你是我的偶像。
居然奋战两天两夜。。

休息，休息一下。。。

2008-8-21 21:39:17

帖子主题: 这处驱动文件特徵怎麽改呢 请求指点

帖子主题: 这处驱动文件特徵怎麽改呢请求指点