1. Solución integral para el anti-kill de troyanos
Modificar el código de función de memoria--->1>Agregar 1 al punto de entrada para evitar el anti-kill 1>Agregar shell de compresión 1>--->luego Embalaje o embalaje múltiple
2>Cómo evitar la muerte cambiando la dirección de entrada 2>Agregar shell poco común--->2>Disfraz de embalaje.
3>Agregar método de comando elegante Método antivirus 3>Agregar shell comprimido 3>--->Interrumpir el archivo de encabezado del shell
4>Modificar el código de característica del archivo para evitar métodos antivirus
Los métodos antivirus anteriores se pueden combinar libremente en una variedad de programas anti-eliminación diferentes.
2. Soluciones antivirus de uso común
1. Solución antivirus completa para casos:
Modificar el código de firma de la memoria + agregar UPX shell + secreto. operación para interrumpir el archivo de encabezado del shell.
Herramientas necesarias: herramienta empaquetadora UPX, operación secreta
2. Solución antivirus completa 2:
Modificación de firma de memoria + agregar instrucciones + agregar shell comprimido
3. Solución antivirus completa 3:
Modificar la firma de la memoria + agregar shell comprimido + disfraz o empaquetadores múltiples
4. :
Modificación del código de función de memoria + eliminación del encabezado y dirección del punto de entrada + shell de compresión
5. Solución antivirus completa 5:
Modificación del código de firma de memoria + modificación de varias firmas de software antivirus + shell de compresión
6. Solución antivirus completamente anormal 6:
Modificación de la firma de memoria + instrucciones de floración + entrada de transformación de eliminación de cabeza Haga clic + agregar UPX shell + use operaciones secretas para alterar el archivo de encabezado del shell (Ps: lo mejor...)
3. Resuelva el problema de los errores de ejecución después de agregar instrucciones
1.Analizar. la razón: cuando agregamos instrucciones de flores, generalmente buscamos el área de código en blanco al final del segmento de código, que es el llamado área cero, y luego completamos las instrucciones de flores que preparamos y luego saltamos a la entrada punto. Sin embargo, el tamaño de nuestro troyano es relativamente grande y la distancia desde el punto de entrada hasta el último área cero es relativamente grande, por lo que saltar desde abajo hasta la cabeza es muy propenso a errores debido a la gran distancia.
3. El método antivirus recientemente investigado resuelve perfectamente este problema: lo llamé: Método de salto de transición intermedio
Ejemplo de demostración: Método de salto de transición intermedio Modificar Grey Pigeon V1.22 o VIP2.0.
El principio de implementación del método de transición intermedia: primero, hacemos una copia de seguridad de parte del código en el medio del segmento de código y luego escribimos las instrucciones florales que queremos agregar. Después de escribir, saltamos al. Área cero. En este, complete el área cero con el código que respaldamos hace un momento. Después de completar, tenemos que regresar para completar las instrucciones de la flor. En una palabra: complete las instrucciones de la flor en el medio del código. Y mueva el código cubierto por las instrucciones de la flor al área cero para su ejecución y luego retroceda, cambie el punto de entrada a la primera dirección del comando de la flor. Ventajas de esta nueva tecnología antivirus: el comando de flor anterior solo se puede completar hasta el área cero, es decir, el punto de entrada generalmente llega relativamente tarde, por lo que a veces Kappa lo elimina. , el punto de entrada del programa se vuelve muy flexible y se puede colocar en cualquier posición en el segmento de código. Cada vez que se coloca uno, el nuevo punto de entrada es una nueva solución antivirus. Y este método también es muy eficaz contra Kabbah. El punto en el medio del segmento de código es algo que el software antivirus nunca esperaría, por lo que el efecto antivirus es el mejor. Al mismo tiempo, resuelve la deficiencia del programa que no se ejecuta debido a que salta demasiado. Este método es un método antivirus perfecto. Espero que todos puedan usarlo de manera flexible
.