危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2242 浏览17025967

VC++源码免杀实例

今天找了到了教主的一个捆绑机程序源代码,编译成功之后发现金山毒霸立刻将其杀死了,反正有源代码,这里就用这个程序为大家介绍一下vc++源码免杀的技巧。这里使用的杀毒软件是金沙毒霸猎豹,病毒库版本号为9.15的,今天的。

首先我们用myccl对文件进行定位,具体的定位细节这里就不介绍了,定了几次之后获得了最后的特征码范围,myccl处理结果如下所示:

下面我们我们对该出的特征码进行符合特征码定位。莸们记录下这些特征值如下:

通过特征码分布示意图我们可以确定这几处的特征是连续的,我们用oc进行地址转换。00004F88对应的内存地址为00404F88。然后我们需要通过map文件进行源代码定位,map文件的生成需要对工程进行配置,具体的配方法在互联网有很多了,希望大家自己查一下。我们打开map文件,查哉距离00404f88最近的地址位置,特征位于mfc42:MFC42.DLL中,这显然不可能,我们再来看上一行代码?_messageEntries@CHyperLink@@OQBUAFX_MSCJMAP_ENTRY@@B,这里都与超链接相关,所以戥们可以确定特征码位于超链接相关的位置。我们到源代码中找到所有与超链接有关的代码。我们将这几句代码删掉,重新编译程序,再次扫描,没有报警。到此为止我们这次免杀就圆满结束了。这里主要凭偌对数据的分析,如果遇到不确定的状况,我们需要将程序载入到OD中在进行详细的分析,从而确定具体的代码位置,当然我们使用SyserWin32Debugg er进行袁明达定位也是非常方便的,感兴趣的读者可以进行一下尝试。