微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 反病毒 » 全面突破NOD32最高启发式(录象)  

 27  1/3  1  2  3  > 
作者:
标题: 全面突破NOD32最高启发式(录象)
cici584522
注册用户





积分 109
发帖 49
注册 2007-11-12
#1  全面突破NOD32最高启发式(录象)

下载连接
点击下载



大家好

我是小东¢酷儿(通用论坛ID: cici584522)

BLOG: www.hackhobby.com

=====================================================

全面突破NOD32最高启发式

先声明一点。。在无壳条件下突破NOD32最高启发。。我所知道的有三种方法

其中两种是暗组论坛的幻觉发布的,另一个是我自创的。。今天要说的方法是

幻觉发布两种方法中其中的一种(稍有修改)

准备的东西

1。原版无壳鸽子一个
2。C32
3。MYCCL

先来配置个原始的,现在还没开高级启发。。先过了普通扫描再说

000A1565 特征位。。

先等等。。开PEID查壳器查查这个是不是有壳。。呵呵。。防止某些人怀疑是带壳做的

000A1565用00添冲掉即可。。对程序没影响

已经过了普通扫描。。现在打开高级启发

现在高级启发显示为变种,,这里看定位诀窍。。。

我们不用00填充。。而用90。。这是因为我们所定位的地方本来就是00

所以我们如果再用00。。就反而定位不到真实的特征码,从反向开始定位(具体为什么自己想想)

必须从 DATA段开始。。。

[特征] 000A4284_00000001
[特征] 000A42D4_00000001

两处高级启发特征

这里注意看。。并不能直接改定位的地方。。

第一处。。要改代码顶上的00区域。。而这个00区域必须是紧连接上头一堆代码的位置

自然就是我鼠标画的这里

把它NOP(90)掉

另一处同样方法解决

查杀。。运行测试上线是否成功

让我们开NOD32内存扫描(其实没必要。。内存跟表面是同一套特征码)

抱歉。。这个是鸽子的控制端。。看看路径就知道

并没发现我们的主木马。。。看木马依然在

好了。。教程结束。。。。

[ Last edited by cici584522 on 2007-11-21 at 12:20 ]

※ ※ ※ 本文纯属【cici584522】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-11-21 12:13
查看资料  发送邮件  发短消息  QQ   编辑帖子
images
银牌会员





积分 1429
发帖 1376
注册 2007-11-17
#2  

顺便应该再讲讲nod32的启发原理?
是不是所有的启发都能够突破?

※ ※ ※ 本文纯属【images】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-11-21 12:30
查看资料  发短消息   编辑帖子
cici584522
注册用户





积分 109
发帖 49
注册 2007-11-12
#3  

主动防御都能突破..何况启发式.....

※ ※ ※ 本文纯属【cici584522】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-11-21 12:30
查看资料  发送邮件  发短消息  QQ   编辑帖子
cici584522
注册用户





积分 109
发帖 49
注册 2007-11-12
#4  

因为研究各种启发式很长时间了...按我自己的话说...

启发式其实就是传统的特征码扫描的改进版

传统的扫描的特征码是固定死的...  

而启发式是根据"父亲"和"儿子"之间的关系..

定位只能定到"儿子"..所以无论把"儿子"移动,"只要"父亲"还在,就能找到"儿子"

所以我们必须找到"父亲"..针对"父亲"修改.... 这样"儿子"便可以不去管它,

因为无法认出"父亲",,那"孩子"也自然不会去判断

※ ※ ※ 本文纯属【cici584522】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-11-21 12:34
查看资料  发送邮件  发短消息  QQ   编辑帖子
sidineyqiao
版主

体育娱乐休闲版主


积分 1697
发帖 1584
注册 2007-8-2
来自 庆祝微点上市一周年624-630
#5  

比较精辟。

※ ※ ※ 本文纯属【sidineyqiao】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-11-21 12:37
查看资料  发短消息   编辑帖子
zheng363663
新手上路




积分 40
发帖 40
注册 2007-11-15
#6  ````````````````

收到..了解

※ ※ ※ 本文纯属【zheng363663】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

村里有个姑娘叫小芳
跟着大款跑了
2007-11-21 12:37
查看资料  发送邮件  发短消息   编辑帖子
lotei
版主

病毒区地方父母官


积分 776
发帖 775
注册 2006-10-14
来自 被人们遗忘了的村庄
#7  



  Quote:
Originally posted by cici584522 at 2007-11-21 12:34:
因为研究各种启发式很长时间了...按我自己的话说...

启发式其实就是传统的特征码扫描的改进版

传统的扫描的特征码是固定死的...  

而启发式是根据"父亲"和"儿子"之间的关系..

定 ...

同意小东的理解!目前来讲nod也好,红伞也好他们的启发大致都是传统的特征码扫描的改进版约等于广谱扫描。如果不是特征!不可能让小东随便修改个特征就能过(其实这是违背了启发的核心技术思路)

至于小东所讲父子关系做例子比喻生动!但从技术角度讲比较抽象!希望小东能从技术的角度给出一下你的见解!

[ Last edited by lotei on 2007-11-21 at 13:20 ]

※ ※ ※ 本文纯属【lotei】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-11-21 13:18
查看资料  发送邮件  发短消息   编辑帖子
cici584522
注册用户





积分 109
发帖 49
注册 2007-11-12
#8  

从技术角度讲...那网上多的是关于启发式技术文章....

不过说实话..我都看的迷迷糊糊...也没怎么去看...

或许几千字的篇幅还不如我所说的 父子关系来的直接(主要是因为公布的此方法属于比较难理解的一种...我自己创的那套方法就容易理解"父子"关系是如何来的..可惜目前还不能发布..呵呵)

※ ※ ※ 本文纯属【cici584522】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-11-21 13:22
查看资料  发送邮件  发短消息  QQ   编辑帖子
cici584522
注册用户





积分 109
发帖 49
注册 2007-11-12
#9  

正在准备制作突破卡巴7.0最高启发式的录象...

※ ※ ※ 本文纯属【cici584522】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-11-21 13:24
查看资料  发送邮件  发短消息  QQ   编辑帖子
cici584522
注册用户





积分 109
发帖 49
注册 2007-11-12
#10  

网上某些高手(不清楚是否是枪手) 说的所谓启发式不怕已知的无壳木马..只怕加壳的..

纯粹是胡造谣..或许是因为看多了所谓启发式的技术文章,,认为启发式的智能就达到了

他们的理想水平....实际远没有...而那些所谓的启发式技术文章..也可能是杀软公司的

夸大其词

※ ※ ※ 本文纯属【cici584522】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-11-21 13:29
查看资料  发送邮件  发短消息  QQ   编辑帖子
 27  1/3  1  2  3  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号