讨论下，什么叫做免杀，免杀考不考虑防御

显示全部楼层 · 发表于 2011-11-24 10:06:38

李白vs苏轼发表于 2011-11-24 09:49
不是无效,,,,

要看你在哪个地方增,,

如果是文件里面随意加的话肯定是要用到nop
或者是jmp+随机数据的方式
这样本地的启发应该可以随意就抓到吧。。

我看目前的自增大多是采用的文件尾贴nop 或者无限pop push的

显示全部楼层 · 发表于 2011-11-24 10:13:59

本帖最后由李白vs苏轼于 2011-11-24 10:16 编辑

zhq445078388 发表于 2011-11-24 10:06
如果是文件里面随意加的话肯定是要用到nop
或者是jmp+随机数据的方式
这样本地的启发应该可以随意就抓 ...

nop多点

文件末尾现在都被严重监视了

,,,,,,但还有一堆人在傻傻的填0.......

现在最傻的就是填0了,,,

显示全部楼层 · 发表于 2011-11-24 10:15:24

李白vs苏轼发表于 2011-11-24 10:13
文件末尾现在都被严重监视了

所以有用jmp打乱的光我就见到N多了。。

话说貌似nod对这种比较敏感

显示全部楼层 · 发表于 2011-11-24 10:17:55

本帖最后由李白vs苏轼于 2011-11-24 10:19 编辑

zhq445078388 发表于 2011-11-24 10:15
所以有用jmp打乱的光我就见到N多了。。

话说貌似nod对这种比较敏感

jmp打乱的例子就多得受不了了,,,,,

但是照样被杀

nod是动态启发,,百锐对这种应该也很给力把

不过nod的启发,,有时候我总感觉哪里不对劲

国内环境下更多人在用自己的猥琐方法,

真是猥琐得杀软想去死

显示全部楼层 · 发表于 2011-11-24 10:20:11

除非你的电脑不安装杀软，你就免杀成功了

显示全部楼层 · 发表于 2011-11-24 10:21:59

本帖最后由李白vs苏轼于 2011-11-24 10:23 编辑

Howl 发表于 2011-11-24 10:20
除非你的电脑不安装杀软，你就免杀成功了

免杀都有一定的范围

像xx虫就有个360研究室

有大量的研究过5引擎的方法

当然他们也在感慨过了引擎怎么过主防无提示

几天能见到一种无提示的方法把

显示全部楼层 · 发表于 2011-11-24 10:23:57

李白vs苏轼发表于 2011-11-24 10:21
免杀都有一定的范围

像xx虫就有个360研究室

XX虫是啥。。。

（高启失败。。

）

对了我记得PE套PE的方法过NOD很简单似乎NOD抓入口点的时候 PE套PE的方式会让NOD抓错

显示全部楼层 · 发表于 2011-11-24 10:24:06

李白vs苏轼发表于 2011-11-24 10:21
免杀都有一定的范围

像xx虫就有个360研究室

我是指这句话：“我让全世界杀软死活扫描不出来，但一运行全世界杀毒软件能杀”

显示全部楼层 · 发表于 2011-11-24 10:24:42

本帖最后由 guidanba 于 2011-11-24 10:25 编辑

李白vs苏轼发表于 2011-11-24 10:21
免杀都有一定的范围

像xx虫就有个360研究室

360杀毒其实只有三个查杀引擎。

显示全部楼层 · 发表于 2011-11-24 10:29:59

如果一种本来不能过扫描却主防无提示的恶意程序（样本区）通过一定方法过了扫描~那岂不是可以在一定时间内做坏事了~

[讨论] 讨论下，什么叫做免杀，免杀考不考虑防御