北零社区 » 『 正版杀毒软件 』 » 让我们了解一下杀毒软件的工作原理和怎么制作过杀毒软件的小木马(申请转正)
2008-1-11 16:29
lmy85813
让我们了解一下杀毒软件的工作原理和怎么制作过杀毒软件的小木马(申请转正)
1 什么是特征码
杀毒软件在对文件进行查杀的时候。会挑选文件内部的一句或者几句代码来作为他识别病毒的方式。这种代码就叫做病毒的特征码。如果我们将这个代码变更或者修改。就会使得杀毒软件对其无法查杀。
2 特征码的分类
文件特征码 内存特征码
单一文件特征码 复合文件特征码 单一内存特征码 复合内存特征码
下面具体解释下
A:文件特征码
文件特征码就是病毒程序代码中的一句或几句被杀毒软件作为识别的的代码,
举例来说。你为病毒。我是杀毒软件。,我把你的名字做为查杀对象。那么你的名字就是文件特征码
B:内存特征码
内存特征码是程序运行以后。在windows内存中的运行代码。
举例来说:你是病毒,我是杀毒的。你在我家里搞了什么破坏。或者有什么痕迹。我把这些做为认定你是小偷的根据。这些根据就是内存特征码
C:单一特征码
单一特征码就是说,一个程序中的一句代码被杀毒软件做为识别标志。修改掉就可以免杀
D:复合特征码
一个程序中的多句代码被杀毒软件作为识别标志。有一处不修改都不能免杀
我们会在今后的教程中举例来对以上几种特征码进行定位教程。
首先我们来学习定位文件特征码
先介绍原理。
举例来说“比如我的电脑硬件损坏,导致不能正常使用。但是我又不知道哪里不正常。用最笨的方法怎么判断出哪里是出错的地方呢?首先。我要对电脑大概进行判断,是显示器不正常还是机箱不正常 于是我更换了显示器。发现依然有错误。那么可以判断出。出错的地方在机箱。于是我进一步缩小范围。来分块判断是CPU不正常还是主版内存不正常。于是我更换了CPU。发现还有毛病。从而判断出出错的地方是主版或者内存。再进一步更换了内存。发现还是有错误。把目标锁定在了主板。最后。我更换了主板,发现电脑修好了。”
这就是特征码的定位原理。
下面具体介绍代码替换免杀原理
文件特征码定位原理
先自动生成了几个或多个文件。其中把这些文件中的部分代码过滤掉。用杀毒软件查杀后。有2种情况。被杀和不被杀。如果文件没有被杀掉。就证明该生成文件中的代码已经被过滤掉了。也就是说。代码就在过滤的部分里。由于被过滤。所以导致没有被杀死。
而那些被杀的文件呢。说明文件里面还存有特征码。但是这个文件中的代码的大致部位没有上面被杀的文件的部位精确。(为什么?因为免杀的东西才叫精确嘛。因为上面的文件免杀。所以我们判断出来特征码是因为被过滤掉所以就在被过滤的地方。)
我们知道了大致位置以后。就要继续进行重复这个步骤。分块过滤。生成文件。杀毒。挑选免杀的文件特征码继续进行精确定位。。
说起来都这么麻烦。更别说手工做了。。用工具来操作吧。早就有前辈做好了工具了
CCL特征码定位工具。
CCL的原理。我已经把说明书给大家了。比我解释的要清楚专业。能不能懂就别怪我了。。我上面说的够清楚啦。。。自己多想几遍就懂了。我想了10几次才明白过来。。可能是我比较笨吧。。
下面看具体操作。
不写字了。看使用说明书。。
我们来具体的找个文件来实战的修改一下他的文件特征码来熟练我们的动作。
以黑洞2005服务端为例子,正好把脱壳的方法也给大家客串下。
工具放心。都会打包。。怕有毒自己不用看我的教程。
生成黑洞 查壳 upx变形 upx变形客星改一改。然后用upx自带的脱掉它。
然后分析内部构造。把一个钩子dll弄出来。脱掉里面变形壳。再弄回去就完美脱掉啦。
PS 目前本人只会脱黑洞。别加我QQ问我XX怎么脱。我不会。
来开始定位他的文件特征码吧。
就这样。过了很久。。又过了很久。我弄出来了。
这就是杀毒的原理,只是很少一部分,有对做免杀赶兴趣的,请多回复帮我转正,我会在发一做免杀的帖子,当然会负上录象
1 什么是特征码
杀毒软件在对文件进行查杀的时候。会挑选文件内部的一句或者几句代码来作为他识别病毒的方式。这种代码就叫做病毒的特征码。如果我们将这个代码变更或者修改。就会使得杀毒软件对其无法查杀。
2 特征码的分类
文件特征码 内存特征码
单一文件特征码 复合文件特征码 单一内存特征码 复合内存特征码
下面具体解释下
A:文件特征码
文件特征码就是病毒程序代码中的一句或几句被杀毒软件作为识别的的代码,
举例来说。你为病毒。我是杀毒软件。,我把你的名字做为查杀对象。那么你的名字就是文件特征码
B:内存特征码
内存特征码是程序运行以后。在windows内存中的运行代码。
举例来说:你是病毒,我是杀毒的。你在我家里搞了什么破坏。或者有什么痕迹。我把这些做为认定你是小偷的根据。这些根据就是内存特征码
C:单一特征码
单一特征码就是说,一个程序中的一句代码被杀毒软件做为识别标志。修改掉就可以免杀
D:复合特征码
一个程序中的多句代码被杀毒软件作为识别标志。有一处不修改都不能免杀
我们会在今后的教程中举例来对以上几种特征码进行定位教程。
首先我们来学习定位文件特征码
先介绍原理。
举例来说“比如我的电脑硬件损坏,导致不能正常使用。但是我又不知道哪里不正常。用最笨的方法怎么判断出哪里是出错的地方呢?首先。我要对电脑大概进行判断,是显示器不正常还是机箱不正常 于是我更换了显示器。发现依然有错误。那么可以判断出。出错的地方在机箱。于是我进一步缩小范围。来分块判断是CPU不正常还是主版内存不正常。于是我更换了CPU。发现还有毛病。从而判断出出错的地方是主版或者内存。再进一步更换了内存。发现还是有错误。把目标锁定在了主板。最后。我更换了主板,发现电脑修好了。”
这就是特征码的定位原理。
下面具体介绍代码替换免杀原理
文件特征码定位原理
先自动生成了几个或多个文件。其中把这些文件中的部分代码过滤掉。用杀毒软件查杀后。有2种情况。被杀和不被杀。如果文件没有被杀掉。就证明该生成文件中的代码已经被过滤掉了。也就是说。代码就在过滤的部分里。由于被过滤。所以导致没有被杀死。
而那些被杀的文件呢。说明文件里面还存有特征码。但是这个文件中的代码的大致部位没有上面被杀的文件的部位精确。(为什么?因为免杀的东西才叫精确嘛。因为上面的文件免杀。所以我们判断出来特征码是因为被过滤掉所以就在被过滤的地方。)
我们知道了大致位置以后。就要继续进行重复这个步骤。分块过滤。生成文件。杀毒。挑选免杀的文件特征码继续进行精确定位。。
说起来都这么麻烦。更别说手工做了。。用工具来操作吧。早就有前辈做好了工具了
CCL特征码定位工具。
CCL的原理。我已经把说明书给大家了。比我解释的要清楚专业。能不能懂就别怪我了。。我上面说的够清楚啦。。。自己多想几遍就懂了。我想了10几次才明白过来。。可能是我比较笨吧。。
下面看具体操作。
不写字了。看使用说明书。。
我们来具体的找个文件来实战的修改一下他的文件特征码来熟练我们的动作。
以黑洞2005服务端为例子,正好把脱壳的方法也给大家客串下。
工具放心。都会打包。。怕有毒自己不用看我的教程。
生成黑洞 查壳 upx变形 upx变形客星改一改。然后用upx自带的脱掉它。
然后分析内部构造。把一个钩子dll弄出来。脱掉里面变形壳。再弄回去就完美脱掉啦。
PS 目前本人只会脱黑洞。别加我QQ问我XX怎么脱。我不会。
来开始定位他的文件特征码吧。
就这样。过了很久。。又过了很久。我弄出来了。
这就是杀毒的原理,只是很少一部分,有对做免杀赶兴趣的,请多回复帮我转正,我会在发一做免杀的帖子,当然会负上录象
页: [1]
Powered by Discuz! Archiver 5.5.0 © 2001-2006 Comsenz Inc.