本论坛为只读模式,仅供查阅,不能注册新用户,不能发帖/回帖,有问题可发邮件 xikug.xp (^) gmail.com
查看: 6846|回复: 31

专门弄了个测试启发的简单代码,被杀的那是相当的绝望,救命啊 [复制链接]

Rank: 1

发表于 2009-11-25 14:56:52 |显示全部楼层
  1. #include <windows.h>
  2. #include <stdio.h>
  3. __declspec(naked)  void* GetBin()
  4. {
  5.     _asm
  6.     {
  7.         call RetDataPoint
  8.             
  9. RetDataPoint:
  10.         pop eax
  11.         add eax, 5
  12.         ret
  13. //这里随便弄个系统自带的dll,用winhex(将dll数据xor一下)+editplus转换一下格式为_emit
  14. _emit ...
  15. _emit ...
  16. _emit ...
  17.             
  18.     }
  19. }
  20. int main(int argc, char* argv[])
  21. {
  22.     BYTE *p = (BYTE*)GetBin();
  23.     return 0;
  24. }
复制代码



因为不想弄成资源,于是想把东东放到代码段里
我测试的杀软,360和小红伞
我一开始还觉得,它们杀的是靠不靠谱的,但是如果dll的数据不编码就不k,如果_emit的数据是我随机生成的数据他也不K,但如果真的是pe且编码了一下就K,

如此强大的启发扫描,貌似被虚拟执行了一下,发现内嵌了PE就K?
那也奇怪啊,我这个测试的代码也没将编码的pe还原出来,也能被分析出内部嵌入东东,郁闷
555555555555555
求行内人支招

testav.rar

6 KB, 下载次数: 1044

Rank: 1

发表于 2009-11-25 16:02:56 |显示全部楼层
我对写马不擅长,所以帮不了楼主咯,只能祝你早点找到答案.

Rank: 1

发表于 2009-11-25 16:40:11 |显示全部楼层
这是高级人品启发式引擎,不在于人代码有多纯洁。要想过,easy,请高僧开光
该用户已被删除
发表于 2009-11-25 17:15:18 |显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽

Rank: 2

发表于 2009-11-25 17:18:06 |显示全部楼层
尽量伪装成正常的安装程序,小红伞总不会连正常软件安装包都杀吧

Rank: 1

发表于 2009-11-25 18:20:12 |显示全部楼层
引用第3楼boywhp于2009-11-25 14:15发表的  :
360也许可以过,小红伞就难说了,楼主自重吧,又或者楼主调用了什么危险的函数?
那个emit的函数写得太像病毒了,哈哈,你写几个简单的emit也会被啥?


你看上面的代码了吗,一个api都没调用啊,就是把pe文件的数据emit到代码里
该用户已被删除
发表于 2009-11-25 18:22:45 |显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽

Rank: 1

发表于 2009-11-25 21:06:28 |显示全部楼层
目前我认为是,数据经过简单编码后反而出现某些特征与以前的某些毒的特征碰撞了,
不编码或稍微强点的加密就没事,

我使用的简单的编码如:逐个BYTE或DWORD进行xor或加、减都被k。

Rank: 3Rank: 3

发表于 2009-11-26 11:02:01 |显示全部楼层
引用第7楼heartring于2009-11-25 18:06发表的  :
目前我认为是,数据经过简单编码后反而出现某些特征与以前的某些毒的特征碰撞了,
不编码或稍微强点的加密就没事,

我使用的简单的编码如:逐个BYTE或DWORD进行xor或加、减都被k。

根据猜测,可能是你的xor 或加减都还很简单~~
用更强的RSA 30xx
该用户已被删除
发表于 2009-11-26 11:03:50 |显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽

Rank: 1

发表于 2009-11-26 12:50:02 |显示全部楼层
emit
mark

Rank: 1

发表于 2009-11-26 14:05:40 |显示全部楼层
只填XOR过的PE头测试看看,或者换用不正常的PE,像被UPACK0.37加过壳的PE试试

Rank: 1

发表于 2009-11-27 17:55:09 |显示全部楼层
出现简单编码的PE头就被K,汗,简单编码的特征有好多种吧,都被纳入了呀

Rank: 1

发表于 2009-11-28 18:28:34 |显示全部楼层
我都不相信了,先用zip压缩,然后随便用一个正规一点的加密算法,DES,Blowfish,Twofish,AES...之类的加密一个PE文件放在资源里,然后不去用那个资源,会被杀出来?

Rank: 1

发表于 2009-11-28 21:47:06 |显示全部楼层
1)明显是不干好事的PE文件,不启发干嘛.杀掉活该
2)直接告诉你把,你们那种简单处理的所谓"编码PE文件",大多数情况下可以直接分析出KEY.甚至不用KEY都足够判毒.

Rank: 1

发表于 2009-11-28 21:51:13 |显示全部楼层
基础都不牢靠,还是好好学习走正道吧.
别捣腾这种SB免杀技巧了.没前途.

Rank: 1

发表于 2009-11-28 23:06:56 |显示全部楼层
1)明显是不干好事的PE文件,不启发干嘛.杀掉活该
2)直接告诉你把,你们那种简单处理的所谓"编码PE文件",大多数情况下可以直接分析出KEY.甚至不用KEY都足够判毒.

明显是误杀,不用维护AV,AV的局限性在这个例子里暴露无疑

Rank: 1

发表于 2009-11-29 00:35:35 |显示全部楼层
  1. function FindNkB:Boolean;
  2. var
  3.   a,b : _SYSTEMTIME;
  4. begin
  5.    Result:= False;
  6.    GetSystemTime(a);
  7.    Sleep(1666);
  8.    GetSystemTime(b);
  9.    if (b.wSecond = a.wSecond) and (b.wMilliseconds = a.wMilliseconds) then Result:=True;
  10. end;
复制代码
-_,-
我用的

Rank: 1

发表于 2009-11-29 15:13:30 |显示全部楼层
人家就这么做了,人家就是杀你构造的程序而不杀普通编译的程序,你能如何

别扯什么误杀不误杀,是不是误杀不是你说了算.我是懒得跟你争论这个.

是你们自己的认识得不够透彻

Rank: 1

发表于 2009-11-29 15:21:18 |显示全部楼层
你丫坏里揣把长西瓜刀上飞机,
安检不过,你去辩把.
"这把刀就是水果刀,不是砍人的刀.你看,还带有IBM的标签呢"
您需要登录后才可以回帖 登录 | 立即加入

Archiver|手机版|第8个男人 - 论坛为只读模式,仅供查阅

GMT+8, 2019-6-16 11:59 , Processed in 0.037756 second(s), 11 queries .

Design by pvo.cn

© 2011 Pvo Inc.

回顶部