特征码修改技术总结.pdfVIP

特征码修改技术总结 如今杀软的升级，他们的性能越来越强大，查杀力度和广度都大幅度提高，启发式杀毒 的日益完善，使免杀工作越来越困难。杀软在进步我们小黑也不能落其后啊，我们必须努力 掌握必威体育精装版的免杀技巧和动向，同时也不能一步登天的忘了我们的基础。而传统的特征码差杀， 杀软依然在使用。因此要想使我们的木马文件不被查杀，修改文件特征码也是一种常用的方 法，今天就以特征码修改技术给大家做一个总结，献给支持和关心暗组的朋友，也献给免杀 初学者和即将要学习免杀的朋友，本人能力有限，错误之处请大家指出，我们共同学习进步… 一．什么是“特征码” 我们从字面意思上看，就是具有一定特点或特征的一串字符…而这串字符就是被杀软定 义一文件是否是病毒的依据.. 然而稍微专业点就是程序运行时，在内存中为完成特定的动作，要有特殊的指令，一个 程序在运行时，同一内存地址的指令是相同的同一个程序中，一段连续的地址（它的指令相 同），那么我截取这段地址，就可以判断它是不是这个程序。为了防止出现病毒的误查杀， 可以提取出多段特征码。这也就是我们所说的复合特征码. A. 特征码主要又分为：文件特征码，内存特征码，行为特征码，（主动特征码，如瑞星） B. 同时，又分为：单一特征码和复合特征码； 单一特征码就是说，一个程序中的几句代码被杀毒软件做为识别标志。修改掉一处就可以免 杀。 复合特征码:一个程序中的多句代码被杀毒软件作为识别标志。有一处不修改都不能免杀。 二. 修改特征码免杀技术 修改特征码技术，是以杀软查杀特点得来的。杀软会用它们的特征库（也就是我们说的 病毒库）和我们的文件某些字符作对比，如果彼此吻和，就定义为我们的文件为木马病毒。 同时，我们只要修改了它定义出的文件特征码，这样会出现什么情况呢，不用说那就是我们 所说的免杀，也就是用修改特征码技术来达到我们文件的免杀. 三．分析文件特征码 我们要使一个木马文件免杀就要修改它的特征码，但这些特征码我们如何得来。这就 说到了我们特征码分析，也就是我们所说的特征码定位。而定位的工具有很多，常见也是大 家都觉得好用的有（CCL MYCCL multiCCL等）.这就不具体说明，我们重点是特征码 修改. 四．修改特征码常用工具 OD(Ollydbg.exe) C32(C32Asm.exe) 辅助：RestoratRestorator.exe LordPE.exe PEID0.95.exe 汇编指令查询器（可以很好的帮助我们在修改特征码过程中遇到不认 识的汇编指令时，我们可以用它来查询，了解相关功能）（如下图） 五．修改特征码基础汇编指令 到了这里眼看就要修改了做免杀了。大家别急，有句话说的好：“巧妇难为无米之炊”。 也就是说，我们现在有了好的工具但是你会用吗？如果回答是否定的，那一切还是等于零。 工具的使用我这里就不说了，暗组论坛自己搜，NEW4写的OD使用说明就很不错，大家可 以看看。好了，我们言归正传。修改特征码需要具备基本的汇编知识，不懂没关系，只要你 肯学肯记，不需要你对汇编了解太深，只要记住常见的指令和它们的作用。大家请注意，这 步是学习免杀即修改特征码最关键的一步，这步学习的好坏，决定你以后修改特征码技术的 高低…这里我给大家列出我们必须去掌握的一些指令，希望大家下来好好背记… 1.算术运算符 ADC:带进位加法 ADD:二进制数加法 DEC:减一 DIV:无符号数除法 IDIV:带符号数(整数)除法 IMUL:带符号数(整数)乘法 INC:加一 MUL:无符号书乘法 NEG:求补 SBB:带借位减法 SUB:二进制减法 XADD:交换并相加 2.ASCII-BCD转换 AAA:加后ASCII调整 AAD:除前ASCII调整 AAM:乘后ASCII调整 AAC:减后ASCII调整 DAA:加后十进制调整 DAS:减后十进制调整 3.移位 RCL:带进位循环左移 RCR:带进位循环右移 ROL:循环左移 ROR:循环右移 SAL:算术左移 SAR:算术右移 SHL:逻辑左移 SHR:逻辑右移 SHLD:双精度左移 SHRD:双精度右移 4.比较 BSF/BSR:位扫描 BT/BTC/BR/BB:位测试 CMP:比较 CMPSN:串比较 CMPXCHG:比较交换 CMPXCHG8B:比较并换?lt;brTEST:测试位 5.数据传送 LDS:装如数据段寄存器 LEA:装入有效地址 LES:装入附加段寄存器 LODS:从串取