危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18943154

源码免杀之卡巴

危险漫步上回和大家说了下源码免杀的基础以及金山的免杀,今天说下卡巴的免杀。

ok,let's go。特征码定位的过程就不说了(对于有些特征码定位困难,大家可以作废一些源代码来查找),直接和大家说下特征码。dll特征码有三处,第一处杀的是mydecode函数中的for循环,在svchost文件下搜索MyDecode,会搜到三处。

对于函数免杀可以通过异常法,就是通过trycatch结构将被杀函数套起来。

第二处是InstaIIModule字串,在sevrver文件下搜索InstalIModule,会搜到六处,只有三处是特征的位置(”InstallModule”)。

可以将”InstallModule”中的InstallModule改为任意字串,我这里改为了hackerxfiles。第三处是杀ReleaseM眦ex和CloseHandle函数。在代码里的throw后面的数字随便写。

下面说下dat文件的特征码位置及其修改方法。只有一处特征。其实是和dll第一处特征码一样。只不过搜索位置要改到install文件下,也是三处和dll一样的代码,改法一样,这里就不贴代码了。最后在install.cpp的memfind函数开头加几句花指令

ok,至此所有的特征码就修改完了,打开卡巴,让危险漫步来检测一下,已经免杀了,测试也能上线。