能力值:
( LV2,RANK:10 )
|
-
-
2 楼
斑竹同志,或者哪位过路的高人,帮帮忙,这个问题对我进行下一步的研究很重要,我就是在pe文件后面加了一段代码,更深入的我还不会,这样就被杀了,
|
能力值:
( LV4,RANK:50 )
|
-
-
3 楼
现成的很多代码都被用来写病毒了,或者说,那些代码本来就是以前的经典病毒中提取出来的。
你还用那些指令序列,当然会被误报为病毒
最好是理解书上代码的思路,然后coding的时候,自己写,不要全盘搬过来用
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
思路我也理解了,应该把里面加到pe文件里面的那段代码改改就成了吧,不过我觉的应该不是这么简单吧,我还想听听其他人的说法
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
估计Norton监视你的文件(可能是大小)变化了
所以就以为是病毒了
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
最初由 dlk0222 发布 估计Norton监视你的文件(可能是大小)变化了 所以就以为是病毒了
不太可能吧,其他的加壳软件加壳都没事,不会是变小就没事,变大就认为是病毒吧
|
能力值:
( LV12,RANK:660 )
|
-
-
7 楼
因为病毒用的就是这种技术: 给PE文件加一个Section,然后修改OEP指向自己的Section,执行完之后跳回真正的OEP。但是不知道norton是怎么知道的。
我瞎说的, 欢迎楼下批评~
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
欢迎高人接着说
|
能力值:
( LV4,RANK:50 )
|
-
-
9 楼
norton好像不断大小的
应该是黑名单
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
你写的代码和norton病毒库的特征码相同.....所以norton会报警...可以尝试在你自己加的那段代码中间加上一些无用的代码..如:nop , xor等试一下看会不会报警!
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
好,明白了,谢谢各位
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
加了几个nop进去,立刻就没事了,
|
能力值:
( LV4,RANK:50 )
|
-
-
13 楼
所以说杀毒软件是垃圾,你可以找到它的病毒库,然后解压,里面的全是一堆垃圾,死的特征码,病毒代码是活的
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
最初由 jskew 发布 所以说杀毒软件是垃圾,你可以找到它的病毒库,然后解压,里面的全是一堆垃圾,死的特征码,病毒代码是活的
杀毒软件也并不是只会利用病毒特征码,
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
我研究过这个问题:
诺顿有一个特征码检测.是检测壳入口代码的.不是静态检测,是动态执行.
诺顿会把程序在虚拟机中执行1024步.检测的特征码主要是下面这个:
call @F
@@:
pop ***
sub ***
如果在前1024条指令包含这些代码保证马上被杀
解决方法:在前面加一个大于1024步骤的循环
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
我都是一个一个软件试,找个加壳后不能杀的!
杀毒不是什么加壳都可以杀的
你可以试下!!
|
能力值:
( LV13,RANK:320 )
|
-
-
17 楼
我曾看过一帖子,说是入口在最后一个区块一般就会被杀毒软件误报。在后面再加个区块就没事了。符上原帖如下:
yah, i have problem like that.
after check it, kaspersky detect suspicious software. it causes you move your entrypoint to last section.
if you want kav don't detect it you can add some packer header like upx :
pushad
mov esi, 0040b000
lea edi, dword ptr [xxx]
...
...
jmp your_EP
it will detect PE_patch / UPX / xxx
or you can change some little byte on first section (sample):
04xxx1 pushad
04xxx2 mov eax, your_EIP
04xxx3 ret
or
04xxx1 pushad
04xxx2 mov eax, 04xxx2
04xxx3 add eax+size to your EP
04xxx4 push eax
04xxx5 ret
...
04xxxx [your code]
- if you take code from other source sample, change it. if you try to get API, encrypt API string. Some AV has blacklist if it not in import table.
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
所谓的内存杀毒是一种很烂的技术,很简单就是你的进程空间,一个一个模块的去搜特征串呀!,我注册了一个软件叫"免疫007",一切搞定了.脚流群的QQ:11461559VIP群QQ:12834753.
|
能力值:
( LV9,RANK:3410 )
|
-
-
19 楼
lxa:
勿重复发此类“广告”倾向的帖子
免疫007是北斗压缩的客户版而已
|
能力值:
( LV2,RANK:10 )
|
-
-
20 楼
|
能力值:
(RANK:10 )
|
-
-
21 楼
你是什么人?
|
能力值:
( LV2,RANK:10 )
|
-
-
22 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
23 楼
在 Upack 的留言簿看到的:
当压缩或其它方式处理的PE文件,其入口在最后一个节中时,且该节的节属性为可读写时,会被Macafe杀毒的未知功能误报为"New Win32 Virus"。
norton估计也类似
|
|
|