首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]norton360免杀问题
发表于: 2010-1-30 11:46 6820

[求助]norton360免杀问题

jigangwinnie 活跃值
2010-1-30 11:46
6820
各位老大大家好,最近在研究norton360免杀,用Myccl定位特征码,发现其特征码是代码段的characteristics标志字段,如果将改为0则PE文件无法加载导致Myccl无法进一步定位特征码,不知道这种情况应该如何免杀?

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (9)
jackozoo
雪    币: 1450
活跃值: (35)
能力值: (RANK:680 )
在线值:
发帖
回帖
粉丝
私信
2
定位到了代码段的characteristics, 说明是PE头部分. 把PE头损坏了就成无效PE了, 杀软当然不会杀.
MyCCL定位出的特征码很多情况下都是错误的.
multiCCL则要比MyCCL强太多了. 算是我见过的最优秀的特征码定位工具.
2010-1-30 13:00
0
jigangwinnie
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
我换muticcl试试吧,谢谢哈
2010-2-1 09:36
0
jigangwinnie
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
我用multiccl定位了,结果和myccl类似,还是查杀的PE头部分,我也知道把PE头的某些部分填0后变成无效PE头所以不查了,不知道有没有什么方法能够进一步定位?谢谢大家
2010-2-4 15:35
0
KuGong
雪    币: 274
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
把PE头跳过再来找特征码...
2010-3-29 21:10
0
任天广
雪    币: 622
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
pe头也会有特征码吗 困惑
2010-3-29 22:17
0
cvcvxk
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
私信
7
OD一下吧,杀毒软件附加比游戏简单多了~
2010-3-30 02:33
0
nbxas
雪    币: 136
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
我也经常遇到这样的情况 郁闷
2010-6-25 22:24
0
zxiso
雪    币: 302
活跃值: (32)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
悲剧了,只有改PE头了。。我记得好像有教程。。
2010-6-25 23:15
0
gougous
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
反向定位下
2010-6-26 08:36
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//