收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 多态病毒?? 大家来试下!
12345678910... 11下一页
返回列表 发新帖
楼主: www-tekeze
 收起左侧

[病毒样本] 多态病毒?? 大家来试下!

[复制链接]
小野泽悠贵
头像被屏蔽
发表于 2019-5-28 14:39:53 来自手机 | 显示全部楼层
高级黑第一名 发表于 2019-5-28 14:10
正因为用net命令建立后门账户的行为显得很低级,所以尼莫拉病毒三代的简化版取消了这个开后门的动作。而 ...


哈哈
真好笑
加盗版壳只会让杀软报得更起劲。
换图标?只能骗用户而已
加签名倒是能过一部分扫描,但你觉得你那种行为能过主防吗?
回复

举报

高级黑第一名
发表于 2019-5-28 16:50:43 | 显示全部楼层
Discuz!X 发表于 2019-5-28 14:39
哈哈
真好笑
加盗版壳只会让杀软报得更起劲。

正因为加壳、换图标、加签名这些措施都不一定能有效,所以我准备修改“免杀.exe”里面的变异算法,让尼莫拉病毒的任何两个变种之间差异扩大,从而确保至少有一部分变种不会被杀毒软件拦截。
回复

举报

小野泽悠贵
头像被屏蔽
发表于 2019-5-28 16:59:01 | 显示全部楼层
高级黑第一名 发表于 2019-5-28 16:50
正因为加壳、换图标、加签名这些措施都不一定能有效,所以我准备修改“免杀.exe”里面的变异算法,让尼莫 ...

你先做出来再说,口说无凭,期待你的样本
回复

举报

高级黑第一名
发表于 2019-5-28 17:15:17 | 显示全部楼层
本帖最后由 高级黑第一名 于 2019-5-28 17:16 编辑
温馨小屋 发表于 2019-5-27 23:07
先去重装虚拟机,这个病毒bug很多,只有第一次运行可以运行成功,如果曾经被杀软拦截或曾经运行过,就要 ...

根本就不是BUG,而是尼莫拉病毒的防止重复感染机制。第一次感染系统之后会在系统中留下一个可以开机自动启动的“C:\windows\nimora.exe”变种文件,以后每次再手动运行尼莫拉病毒的时候都会在检测到这个变种文件之后自动跳过感染电脑的代码,从而确保已经带有尼莫拉病毒的电脑不会被重复感染。另外,尼莫拉病毒三代简化版虽然会在生成“C:\windows\nimora.exe”变种文件之后就自动删掉“C:\windows\nimora\免杀.exe”这个释放出来的组件,但“C:\windows\nimora\exe.exe”这个用作变异本底的病毒文件和“C:\windows\nimora\”路径下的3000个变种文件并没有被自动删除。所以就算你手动删除了“C:\windows\nimora.exe”这个开机自动启动的变种文件,你手动运行的尼莫拉病毒也会在自动生成3000个变种的时候被已经存在的3000个变种文件给干扰,从而无法再次感染电脑。对于这个问题,尼莫拉病毒四代已经解决了这个问题,感染成功后将自动清空“C:\windows\nimora\”这个临时路径里面的所有3002个文件,从而为测试时手动进行的再次感染留下一个干净的本底环境,确保在虚拟机上的每次复现都能成功。
回复

举报

温馨小屋
头像被屏蔽
发表于 2019-5-28 17:26:16 | 显示全部楼层
高级黑第一名 发表于 2019-5-28 14:10
正因为用net命令建立后门账户的行为显得很低级,所以尼莫拉病毒三代的简化版取消了这个开后门的动作。而 ...

建议你下一次改算法的时候先自己测试一下,确认变化能过杀软再拿出来吹,程序间差异小是易语言本身的特性,除非你不用易语言,就算有一部分变种不会被杀,你如何从3000个里面挑出那个不被杀的?过引擎只是第一步,你这个动作幅度只要有主防的杀软基本都能拦截,病毒都发展这么多年了,很多敏感区域是不能去踩得,你直接往windows里释放文件还写启动项写敏感注册表不被杀往哪跑,特别是你还用BAT干这些事,别把杀软想的那么垃圾,建议学完免杀再来改进算法,就算你让两个文件之间的相似度扩大,那也不一定能过杀软,你得确保杀软不能成功通过启发得到你的原始程序,包括反虚拟机,反调试,加变种壳等等
回复

举报

温馨小屋
头像被屏蔽
发表于 2019-5-28 17:32:39 | 显示全部楼层
高级黑第一名 发表于 2019-5-28 17:15
根本就不是BUG,而是尼莫拉病毒的防止重复感染机制。第一次感染系统之后会在系统中留下一个可以开机自动 ...

我说的这个bug是指不是标准win32程序的那个问题,你有几个样本在有残留的系统上也可以发作,但是释放的免杀会损坏,你可能是写入文件的时候没有先探测文件是否存在就直接打开文件了吧,而且还有经常性的免杀无法自动删除的问题
回复

举报

skystars
头像被屏蔽
发表于 2019-5-28 17:41:43 | 显示全部楼层
温馨小屋 发表于 2019-5-28 10:30
用bat和e语言做病毒是毫无意义的,我六年级的时候也用易语言做过病毒,易语言造轮子能力很差,要调用一些 ...

没有用任何模块,哈哈哈
回复

举报

高级黑第一名
发表于 2019-5-28 18:14:38 | 显示全部楼层
温馨小屋 发表于 2019-5-28 17:32
我说的这个bug是指不是标准win32程序的那个问题,你有几个样本在有残留的系统上也可以发作,但是释放的免 ...

有一个样本释放的免杀.exe损坏的问题,是因为我编写那个样本的时候,bat编译器发生了错误,因而造成的。后续的两个有签名版就没有这样的问题了。
回复

举报

记录微笑
发表于 2019-5-28 18:18:35 来自手机 | 显示全部楼层
高级黑第一名 发表于 2019-5-28 17:15
根本就不是BUG,而是尼莫拉病毒的防止重复感染机制。第一次感染系统之后会在系统中留下一个可以开机自动 ...

无论你的病毒怎么改,这么明显的动作基本都会主防拦截,至于衍生物像卡巴诺顿之类的主防一回滚就全部解决。
这种病毒无异于往杀软枪口上撞。
回复

举报

小野泽悠贵
头像被屏蔽
发表于 2019-5-28 18:26:00 | 显示全部楼层
whl2606555 发表于 2019-5-28 18:18
无论你的病毒怎么改,这么明显的动作基本都会主防拦截,至于衍生物像卡巴诺顿之类的主防一回滚就全部解决 ...

对啊
可是他根本认识不到这一点...
回复

举报

下一页 »
12345678910... 11下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-4-27 10:34 , Processed in 0.114251 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表