Board logo

标题: 全面突破NOD32最高启发式(录象) [打印本页]
作者: cici584522     时间: 2007-11-21 12:13    标题: 全面突破NOD32最高启发式(录象)

下载连接
点击下载



大家好

我是小东¢酷儿(通用论坛ID: cici584522)

BLOG: www.hackhobby.com

=====================================================

全面突破NOD32最高启发式

先声明一点。。在无壳条件下突破NOD32最高启发。。我所知道的有三种方法

其中两种是暗组论坛的幻觉发布的,另一个是我自创的。。今天要说的方法是

幻觉发布两种方法中其中的一种(稍有修改)

准备的东西

1。原版无壳鸽子一个
2。C32
3。MYCCL

先来配置个原始的,现在还没开高级启发。。先过了普通扫描再说

000A1565 特征位。。

先等等。。开PEID查壳器查查这个是不是有壳。。呵呵。。防止某些人怀疑是带壳做的

000A1565用00添冲掉即可。。对程序没影响

已经过了普通扫描。。现在打开高级启发

现在高级启发显示为变种,,这里看定位诀窍。。。

我们不用00填充。。而用90。。这是因为我们所定位的地方本来就是00

所以我们如果再用00。。就反而定位不到真实的特征码,从反向开始定位(具体为什么自己想想)

必须从 DATA段开始。。。

[特征] 000A4284_00000001
[特征] 000A42D4_00000001

两处高级启发特征

这里注意看。。并不能直接改定位的地方。。

第一处。。要改代码顶上的00区域。。而这个00区域必须是紧连接上头一堆代码的位置

自然就是我鼠标画的这里

把它NOP(90)掉

另一处同样方法解决

查杀。。运行测试上线是否成功

让我们开NOD32内存扫描(其实没必要。。内存跟表面是同一套特征码)

抱歉。。这个是鸽子的控制端。。看看路径就知道

并没发现我们的主木马。。。看木马依然在

好了。。教程结束。。。。

[ Last edited by cici584522 on 2007-11-21 at 12:20 ]
作者: images     时间: 2007-11-21 12:30
顺便应该再讲讲nod32的启发原理?
是不是所有的启发都能够突破?
作者: cici584522     时间: 2007-11-21 12:30
主动防御都能突破..何况启发式.....
作者: cici584522     时间: 2007-11-21 12:34
因为研究各种启发式很长时间了...按我自己的话说...

启发式其实就是传统的特征码扫描的改进版

传统的扫描的特征码是固定死的...  

而启发式是根据"父亲"和"儿子"之间的关系..

定位只能定到"儿子"..所以无论把"儿子"移动,"只要"父亲"还在,就能找到"儿子"

所以我们必须找到"父亲"..针对"父亲"修改.... 这样"儿子"便可以不去管它,

因为无法认出"父亲",,那"孩子"也自然不会去判断
作者: sidineyqiao     时间: 2007-11-21 12:37
比较精辟。
作者: zheng363663     时间: 2007-11-21 12:37    标题: ````````````````

收到..了解
作者: lotei     时间: 2007-11-21 13:18


  Quote:
Originally posted by cici584522 at 2007-11-21 12:34:
因为研究各种启发式很长时间了...按我自己的话说...

启发式其实就是传统的特征码扫描的改进版

传统的扫描的特征码是固定死的...  

而启发式是根据"父亲"和"儿子"之间的关系..

定 ...

同意小东的理解!目前来讲nod也好,红伞也好他们的启发大致都是传统的特征码扫描的改进版约等于广谱扫描。如果不是特征!不可能让小东随便修改个特征就能过(其实这是违背了启发的核心技术思路)

至于小东所讲父子关系做例子比喻生动!但从技术角度讲比较抽象!希望小东能从技术的角度给出一下你的见解!

[ Last edited by lotei on 2007-11-21 at 13:20 ]
作者: cici584522     时间: 2007-11-21 13:22
从技术角度讲...那网上多的是关于启发式技术文章....

不过说实话..我都看的迷迷糊糊...也没怎么去看...

或许几千字的篇幅还不如我所说的 父子关系来的直接(主要是因为公布的此方法属于比较难理解的一种...我自己创的那套方法就容易理解"父子"关系是如何来的..可惜目前还不能发布..呵呵)
作者: cici584522     时间: 2007-11-21 13:24
正在准备制作突破卡巴7.0最高启发式的录象...
作者: cici584522     时间: 2007-11-21 13:29
网上某些高手(不清楚是否是枪手) 说的所谓启发式不怕已知的无壳木马..只怕加壳的..

纯粹是胡造谣..或许是因为看多了所谓启发式的技术文章,,认为启发式的智能就达到了

他们的理想水平....实际远没有...而那些所谓的启发式技术文章..也可能是杀软公司的

夸大其词
作者: lotei     时间: 2007-11-21 13:42
个人觉得,从某种意义上讲,父子关系其实就是广谱特征的定位方法!

另外技术规技术!启发的技术和一个启发产品其实是不一样的!

[ Last edited by lotei on 2007-11-21 at 13:43 ]
作者: johnchu     时间: 2007-11-21 16:03
看看是啥玩意
作者: cici584522     时间: 2007-11-21 16:29


  Quote:
Originally posted by lotei at 2007-11-21 13:42:
个人觉得,从某种意义上讲,父子关系其实就是广谱特征的定位方法!

另外技术规技术!启发的技术和一个启发产品其实是不一样的!

[ Last edited by lotei on 2007-11-21 at 13:43 ]

你是从理论上来说..真正的启发式技术是无壳所无法穿越的吧??

可惜现在我见到的启发式都差不多是这样...
作者: lotei     时间: 2007-11-21 18:21


  Quote:
Originally posted by cici584522 at 2007-11-21 16:29:



你是从理论上来说..真正的启发式技术是无壳所无法穿越的吧??

可惜现在我见到的启发式都差不多是这样...

所以个人觉得他们做的启发式是并不是真正意义上的启发!正在意义上的启发绝对是无壳所无法穿越,除非你本身是个变形加密。
作者: cici584522     时间: 2007-11-21 18:36


  Quote:
Originally posted by lotei at 2007-11-21 18:21:


所以个人觉得他们做的启发式是并不是真正意义上的启发!正在意义上的启发绝对是无壳所无法穿越,除非你本身是个变形加密。

可惜现在还没理论上的完美启发式...:D
作者: lotei     时间: 2007-11-21 22:32


  Quote:
Originally posted by cici584522 at 2007-11-21 18:36:



可惜现在还没理论上的完美启发式...:D

我不需要他完美!我只需要他是真的启发!不要是些改进的特征或者广谱扫描!:lol::lol:
作者: cici584522     时间: 2007-11-21 22:41


  Quote:
Originally posted by lotei at 2007-11-21 22:32:


我不需要他完美!我只需要他是真的启发!不要是些改进的特征或者广谱扫描!:lol::lol:

:mad:那就是连真正的启发都没有...哼哼.. 帖子要加分啊..
作者: zqd6789     时间: 2007-11-22 12:45
小东的出现,让我改变了对所谓黑客们的看法,支持小东继续求真务实地颠覆传统观念和揭示某些厂家的不实宣传!!!
作者: johnchu     时间: 2007-11-22 15:41
找不到鸽子教程555555555
作者: johnchu     时间: 2007-11-22 15:42
LZ知道哪有鸽子教程啊?我怎么找不到啊
作者: 林克     时间: 2007-11-24 11:49
东风欣传好消息,
  方策独步世所稀;
  微妙玄机嵌主动,
  点睛灭毒堪神笔。
作者: loveyuwei     时间: 2007-11-24 12:27
NOD32的杀马能力不强,可以说很弱。
作者: qwer9909     时间: 2007-11-24 21:46
LZ厉害啊,LZ认为现在哪款杀软的启发最有效??
作者: 408983504     时间: 2007-11-24 23:58
学东西的...
作者: 微点放大是焦点     时间: 2007-11-27 01:01
我个人认为,不管主动防御也好特征码扫描也好.这两种杀软都会有被轻易突破的一天,今天主动防御之所以功效比特征码扫描更为优越那是因为它还算是个新生事物.用户群的数量还没达成为到广大黑客的目标.换句话说有一天主动防御像现在特征码扫描一样普及的时候我们必能也能同样随处可以找到越过主动防御的病毒.
作者: lotei     时间: 2007-11-27 13:21
没有绝对的安全的杀毒软件能够完全防御住任何病毒和黑客的攻击,这是大家都共识,微点主动防御将在未来一段时间内能够大范围的压制病毒和木马的扩散就足够了!我觉得能够做到这一点,主动防御已经实现它自身的价值了!或者若干年后会出新的技术更好的代替主动防御,但没人敢说在以前的日子里,主动防御没有体现他的任何价值啊!
作者: aliao     时间: 2007-11-28 11:08
刚来这里,看到这篇文章,楼主做的技术含量太高啦,我对杀毒是白痴,呵呵~
感觉网络维护还是要费很大力气的。
另外还要增加网络知识及安全意识,不能把所有的工作都交给安全软件来的,呵呵



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn