[讨论]我对病毒EPO技术的理解-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
木羊雪币： 1556 活跃值： (310) 能力值： ( LV4，RANK：40 ) 在线值：发帖 11 回帖 278 粉丝 1 关注私信	木羊 2 楼通过section去判断，误杀会很高 2010-10-29 15:22 0
pencil 雪币： 1163 活跃值： (137) 能力值： ( LV12，RANK：230 ) 在线值：发帖 22 回帖 680 粉丝 1 关注私信	pencil 5 3 楼你如何保证你patch的地方，程序就一定能执行到？ patch最前面？反病毒软件不会扫描所有跳转，但是会可以扫描关键点。所以你不想被杀就要尽量找偏门的call，那越偏门的就越可能导致程序根本就无法执行到那块。所以这是个博弈。。那为何说这种方式能躲避一部分杀软的查杀呢？杀软不能只靠这一条就杀了它。而且还有个问题，就是怎么监控？会不会很大的影响到性能？ 2010-10-29 16:42 0
AntBean 雪币： 611 活跃值： (251) 能力值： ( LV12，RANK：390 ) 在线值：发帖 34 回帖 139 粉丝 4 关注私信	AntBean 9 4 楼看到一个程序用EPO，在感染计算器时不会被查，但在感染画图程序时，被360和小红伞报了。我觉得可能原因是画图程序中patch的是第一个调用的地方。杀毒软件对patch的检查一个是ExitProcess()这种常用的应该会查，还有应该就是如果你patch的是一开始的调用。至于可能patch的程序压根没执行到，这的确是个问题。个人想法是根据IAT，patch某个函数。对该程序所有调用到该函数的地方都做相应的patch。这样大多数情况下应该都可以被执行到的。为了避免多次执行，在patch的code中做相应处理应该就好了。我现在还没有写过相应的代码，显然ExitProcess()这种patch应该是比较稳妥的。但不知道杀软查杀的情况。感谢pencil兄的讨论 2010-10-29 18:00 0
AntBean 雪币： 611 活跃值： (251) 能力值： ( LV12，RANK：390 ) 在线值：发帖 34 回帖 139 粉丝 4 关注私信	AntBean 9 5 楼个人觉得在代码段中跳到其他段去执行，应该不大正常吧？误杀率我还不大清楚。。。 X门有试过么？ 2010-10-29 18:03 0
pencil 雪币： 1163 活跃值： (137) 能力值： ( LV12，RANK：230 ) 在线值：发帖 22 回帖 680 粉丝 1 关注私信	pencil 5 6 楼哥们，你patch IAT这个会被PE loader覆盖掉的。跨段执行，壳也会来回跳。还有重点是效率问题，如何实现这种监控又不大的影响性能。是不是要对每一步执行都进行判断？ 2010-10-29 19:18 0
AntBean 雪币： 611 活跃值： (251) 能力值： ( LV12，RANK：390 ) 在线值：发帖 34 回帖 139 粉丝 4 关注私信	AntBean 9 7 楼我没说清楚。。。是先在IAT中找到某个函数的地址，然后在整个程序中搜索对该函数的调用，patch掉。。。不是直接修改IAT。。。。杀软仅搜索常用的patch。。。和程序中最前面的函数调用。。。我现在写代码试试。。。。 2010-10-29 19:34 0
guobing 雪币： 11220 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 402 粉丝 0 关注私信	guobing 8 楼嘿嘿，貌似什么，viater不是用的这种方法，在刚开始设计个什么跳转表，好像是个伪指令引擎。搜索刚开始的系统API，然后跳到病毒代码。这种东西，只要逻辑顺清，绝杀绝对没问题。 2010-10-29 20:15 0
AntBean 雪币： 611 活跃值： (251) 能力值： ( LV12，RANK：390 ) 在线值：发帖 34 回帖 139 粉丝 4 关注私信	AntBean 9 9 楼这么强力？求样本，求源码。。。。 2010-10-29 20:19 0
guxinyi 雪币： 585 活跃值： (578) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 10 楼没怎么研究病毒,大家继续讨论,,顺便学西 2010-12-27 17:19 0
pencil 雪币： 1163 活跃值： (137) 能力值： ( LV12，RANK：230 ) 在线值：发帖 22 回帖 680 粉丝 1 关注私信	pencil 5 11 楼你不patch常见的，你怎么保证你的proc能被执行到呢。 2010-12-27 18:32 0
bandithh 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 22 粉丝 0 关注私信	bandithh 12 楼其实要是想隐藏的好点，可以在代码段中找空息。如果没有空隙可以把一部分正常代码移到新建的节中，自己的代码放在原来的代码段处。虽然这种方法会遇到很多问题，但是通过程序实现是没有问题的。 2011-1-13 23:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
木羊雪币： 1556 活跃值： (310) 能力值： ( LV4，RANK：40 ) 在线值：发帖 11 回帖 278 粉丝 1 关注私信	木羊 2 楼通过section去判断，误杀会很高 2010-10-29 15:22 0
pencil 雪币： 1163 活跃值： (137) 能力值： ( LV12，RANK：230 ) 在线值：发帖 22 回帖 680 粉丝 1 关注私信	pencil 5 3 楼你如何保证你patch的地方，程序就一定能执行到？ patch最前面？反病毒软件不会扫描所有跳转，但是会可以扫描关键点。所以你不想被杀就要尽量找偏门的call，那越偏门的就越可能导致程序根本就无法执行到那块。所以这是个博弈。。那为何说这种方式能躲避一部分杀软的查杀呢？杀软不能只靠这一条就杀了它。而且还有个问题，就是怎么监控？会不会很大的影响到性能？ 2010-10-29 16:42 0
AntBean 雪币： 611 活跃值： (251) 能力值： ( LV12，RANK：390 ) 在线值：发帖 34 回帖 139 粉丝 4 关注私信	AntBean 9 4 楼看到一个程序用EPO，在感染计算器时不会被查，但在感染画图程序时，被360和小红伞报了。我觉得可能原因是画图程序中patch的是第一个调用的地方。杀毒软件对patch的检查一个是ExitProcess()这种常用的应该会查，还有应该就是如果你patch的是一开始的调用。至于可能patch的程序压根没执行到，这的确是个问题。个人想法是根据IAT，patch某个函数。对该程序所有调用到该函数的地方都做相应的patch。这样大多数情况下应该都可以被执行到的。为了避免多次执行，在patch的code中做相应处理应该就好了。我现在还没有写过相应的代码，显然ExitProcess()这种patch应该是比较稳妥的。但不知道杀软查杀的情况。感谢pencil兄的讨论 2010-10-29 18:00 0
AntBean 雪币： 611 活跃值： (251) 能力值： ( LV12，RANK：390 ) 在线值：发帖 34 回帖 139 粉丝 4 关注私信	AntBean 9 5 楼个人觉得在代码段中跳到其他段去执行，应该不大正常吧？误杀率我还不大清楚。。。 X门有试过么？ 2010-10-29 18:03 0
pencil 雪币： 1163 活跃值： (137) 能力值： ( LV12，RANK：230 ) 在线值：发帖 22 回帖 680 粉丝 1 关注私信	pencil 5 6 楼哥们，你patch IAT这个会被PE loader覆盖掉的。跨段执行，壳也会来回跳。还有重点是效率问题，如何实现这种监控又不大的影响性能。是不是要对每一步执行都进行判断？ 2010-10-29 19:18 0
AntBean 雪币： 611 活跃值： (251) 能力值： ( LV12，RANK：390 ) 在线值：发帖 34 回帖 139 粉丝 4 关注私信	AntBean 9 7 楼我没说清楚。。。是先在IAT中找到某个函数的地址，然后在整个程序中搜索对该函数的调用，patch掉。。。不是直接修改IAT。。。。杀软仅搜索常用的patch。。。和程序中最前面的函数调用。。。我现在写代码试试。。。。 2010-10-29 19:34 0
guobing 雪币： 11220 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 402 粉丝 0 关注私信	guobing 8 楼嘿嘿，貌似什么，viater不是用的这种方法，在刚开始设计个什么跳转表，好像是个伪指令引擎。搜索刚开始的系统API，然后跳到病毒代码。这种东西，只要逻辑顺清，绝杀绝对没问题。 2010-10-29 20:15 0
AntBean 雪币： 611 活跃值： (251) 能力值： ( LV12，RANK：390 ) 在线值：发帖 34 回帖 139 粉丝 4 关注私信	AntBean 9 9 楼这么强力？求样本，求源码。。。。 2010-10-29 20:19 0
guxinyi 雪币： 585 活跃值： (578) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 10 楼没怎么研究病毒,大家继续讨论,,顺便学西 2010-12-27 17:19 0
pencil 雪币： 1163 活跃值： (137) 能力值： ( LV12，RANK：230 ) 在线值：发帖 22 回帖 680 粉丝 1 关注私信	pencil 5 11 楼你不patch常见的，你怎么保证你的proc能被执行到呢。 2010-12-27 18:32 0
bandithh 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 22 粉丝 0 关注私信	bandithh 12 楼其实要是想隐藏的好点，可以在代码段中找空息。如果没有空隙可以把一部分正常代码移到新建的节中，自己的代码放在原来的代码段处。虽然这种方法会遇到很多问题，但是通过程序实现是没有问题的。 2011-1-13 23:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复