鸽子加UPX壳改壳免杀法
现在我给大家介绍两种加UPX壳后改壳免杀方法
替换法
首先我们先生成一个鸽子的服务端,(这里我已经生成好了)用UPX壳加工一下。再用卡巴查下看。被杀的。卡巴也是刚更新过的~
我们用OD打开,先把前面几句NOP掉.发现.NOP点前面几句后.卡巴不杀了.这样就给我们创造了条件.看我操作。不杀了吧~
再用OD打开.发现这个跳转地方下面有几句NOP代码.这样我们就可以利用写入数据.我们进一步发现,把
这个跳转地址NOP掉。卡巴就不杀了.接着看我操作~~这样可以看出来.卡巴查到这句004ad62a这的时候,可以确认是个灰鸽子加过UPX壳的病毒.
这样我们就可以得出我们的免杀思路.只要修改了这个JMP跳转.就可以达到免杀卡巴的效果。
我们知道
JB 跳转点
JNB
这一对花指令和JMP是对等的.我们可以把JMP替换成这一对来试下.
大家看我操作
附件: 您所在的用户组无法下载或查看附件
Powered by IXPUB.Net © 2001-2007 All Right Reserved. 
