我自己编的最简单的壳被norton查杀，问一下norton用什么来判断-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

我自己编的最简单的壳被norton查杀，问一下norton用什么来判断

发表于: 2005-5-25 08:31 7304

我自己编的最简单的壳被norton查杀，问一下norton用什么来判断

xxy19804

2005-5-25 08:31

7304

呵呵，刚入门，对着罗云彬的win32asm，真是一本好书啊，用他的代码拼了一段，就是在pe文件上加了一个节，里面添了点代码，执行完norton就说生成的文件是病毒，我就有点纳闷，想问一下杀毒软件是用什么来判定这个是病毒，怎么才能不被杀毒软件查杀

[课程]Android-CTF解题方法汇总！

收藏・0

免费・0

支持

最新回复 (22)
xxy19804 雪币： 212 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 38 粉丝 0 关注私信	xxy19804 2 楼斑竹同志，或者哪位过路的高人，帮帮忙，这个问题对我进行下一步的研究很重要，我就是在pe文件后面加了一段代码，更深入的我还不会，这样就被杀了， 2005-5-25 10:00 0
window 雪币： 111 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 168 粉丝 0 关注私信	window 1 3 楼现成的很多代码都被用来写病毒了，或者说，那些代码本来就是以前的经典病毒中提取出来的。你还用那些指令序列，当然会被误报为病毒最好是理解书上代码的思路，然后coding的时候，自己写，不要全盘搬过来用 2005-5-25 10:14 0
xxy19804 雪币： 212 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 38 粉丝 0 关注私信	xxy19804 4 楼思路我也理解了，应该把里面加到pe文件里面的那段代码改改就成了吧，不过我觉的应该不是这么简单吧，我还想听听其他人的说法 2005-5-25 10:21 0
dlk0222 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 205 粉丝 0 关注私信	dlk0222 5 楼估计Norton监视你的文件（可能是大小）变化了所以就以为是病毒了 2005-5-25 10:48 0
xxy19804 雪币： 212 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 38 粉丝 0 关注私信	xxy19804 6 楼最初由 dlk0222 发布估计Norton监视你的文件（可能是大小）变化了所以就以为是病毒了不太可能吧，其他的加壳软件加壳都没事，不会是变小就没事，变大就认为是病毒吧 2005-5-25 10:52 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 7 楼因为病毒用的就是这种技术：给PE文件加一个Section，然后修改OEP指向自己的Section，执行完之后跳回真正的OEP。但是不知道norton是怎么知道的。我瞎说的，欢迎楼下批评~ 2005-5-25 11:37 0
xxy19804 雪币： 212 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 38 粉丝 0 关注私信	xxy19804 8 楼欢迎高人接着说 2005-5-25 14:29 0
bbsxwk 雪币： 239 活跃值： (190) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 85 粉丝 1 关注私信	bbsxwk 1 9 楼 norton好像不断大小的应该是黑名单 2005-5-25 21:24 0
dHaiHlDebug 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 1 关注私信	dHaiHlDebug 10 楼你写的代码和norton病毒库的特征码相同.....所以norton会报警...可以尝试在你自己加的那段代码中间加上一些无用的代码..如:nop , xor等试一下看会不会报警! 2005-5-25 21:30 0
xxy19804 雪币： 212 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 38 粉丝 0 关注私信	xxy19804 11 楼好，明白了，谢谢各位 2005-5-26 08:21 0
xxy19804 雪币： 212 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 38 粉丝 0 关注私信	xxy19804 12 楼加了几个nop进去，立刻就没事了， 2005-5-26 08:36 0
jskew 雪币： 124 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 352 粉丝 0 关注私信	jskew 1 13 楼所以说杀毒软件是垃圾，你可以找到它的病毒库，然后解压，里面的全是一堆垃圾，死的特征码，病毒代码是活的 2005-5-26 09:44 0
xxy19804 雪币： 212 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 38 粉丝 0 关注私信	xxy19804 14 楼最初由 jskew 发布所以说杀毒软件是垃圾，你可以找到它的病毒库，然后解压，里面的全是一堆垃圾，死的特征码，病毒代码是活的杀毒软件也并不是只会利用病毒特征码， 2005-5-26 19:35 0
天杀雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 53 粉丝 1 关注私信	天杀 15 楼我研究过这个问题: 诺顿有一个特征码检测.是检测壳入口代码的.不是静态检测,是动态执行. 诺顿会把程序在虚拟机中执行1024步.检测的特征码主要是下面这个: call @F @@: pop * sub * 如果在前1024条指令包含这些代码保证马上被杀解决方法:在前面加一个大于1024步骤的循环 2005-5-28 16:24 0
Daniellin 雪币： 202 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	Daniellin 16 楼我都是一个一个软件试，找个加壳后不能杀的！杀毒不是什么加壳都可以杀的你可以试下！！ 2005-5-29 10:59 0
qfejj 雪币： 261 活跃值： (162) 能力值： ( LV13，RANK：320 ) 在线值：发帖 11 回帖 139 粉丝 1 关注私信	qfejj 7 17 楼我曾看过一帖子，说是入口在最后一个区块一般就会被杀毒软件误报。在后面再加个区块就没事了。符上原帖如下： yah, i have problem like that. after check it, kaspersky detect suspicious software. it causes you move your entrypoint to last section. if you want kav don't detect it you can add some packer header like upx : pushad mov esi, 0040b000 lea edi, dword ptr [xxx] ... ... jmp your_EP it will detect PE_patch / UPX / xxx or you can change some little byte on first section (sample): 04xxx1 pushad 04xxx2 mov eax, your_EIP 04xxx3 ret or 04xxx1 pushad 04xxx2 mov eax, 04xxx2 04xxx3 add eax+size to your EP 04xxx4 push eax 04xxx5 ret ... 04xxxx [your code] - if you take code from other source sample, change it. if you try to get API, encrypt API string. Some AV has blacklist if it not in import table. 2005-7-24 17:16 0
lxa 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	lxa 18 楼所谓的内存杀毒是一种很烂的技术,很简单就是你的进程空间,一个一个模块的去搜特征串呀!,我注册了一个软件叫"免疫007",一切搞定了.脚流群的QQ:11461559VIP群QQ:12834753. 2005-7-24 18:09 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 19 楼 lxa：勿重复发此类“广告”倾向的帖子免疫007是北斗压缩的客户版而已 2005-7-24 19:07 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 20 楼 hehe,像那样的做法和自裁有什么区别,他哪个DLL文件估计活不了多久了,要是惹急了那些杀毒软件,他们估计也会去买一个,每升级一次就杀一次,我就不信会比老王的壳难杀.而且这样做还可能会造成一些问题,更重要的是只要开着木马客星之类的监控软件,立刻会报警.玩玩可以,刻意和杀毒作对是死路一条. 2005-7-24 20:26 0
Themida 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 8 回帖 99 粉丝 0 关注私信	Themida 21 楼你是什么人？ 2005-7-24 20:40 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 22 楼我是放暑假没事闲的,随便说说,老大别在意. 2005-7-25 06:44 0
ijia 雪币： 236 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 210 粉丝 0 关注私信	ijia 23 楼在 Upack 的留言簿看到的：当压缩或其它方式处理的PE文件，其入口在最后一个节中时，且该节的节属性为可读写时，会被Macafe杀毒的未知功能误报为"New Win32 Virus"。 norton估计也类似 2005-7-25 11:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xxy19804

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
xxy19804 雪币： 212 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 38 粉丝 0 关注私信	xxy19804 2 楼斑竹同志，或者哪位过路的高人，帮帮忙，这个问题对我进行下一步的研究很重要，我就是在pe文件后面加了一段代码，更深入的我还不会，这样就被杀了， 2005-5-25 10:00 0
window 雪币： 111 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 168 粉丝 0 关注私信	window 1 3 楼现成的很多代码都被用来写病毒了，或者说，那些代码本来就是以前的经典病毒中提取出来的。你还用那些指令序列，当然会被误报为病毒最好是理解书上代码的思路，然后coding的时候，自己写，不要全盘搬过来用 2005-5-25 10:14 0
xxy19804 雪币： 212 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 38 粉丝 0 关注私信	xxy19804 4 楼思路我也理解了，应该把里面加到pe文件里面的那段代码改改就成了吧，不过我觉的应该不是这么简单吧，我还想听听其他人的说法 2005-5-25 10:21 0
dlk0222 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 205 粉丝 0 关注私信	dlk0222 5 楼估计Norton监视你的文件（可能是大小）变化了所以就以为是病毒了 2005-5-25 10:48 0
xxy19804 雪币： 212 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 38 粉丝 0 关注私信	xxy19804 6 楼最初由 dlk0222 发布估计Norton监视你的文件（可能是大小）变化了所以就以为是病毒了不太可能吧，其他的加壳软件加壳都没事，不会是变小就没事，变大就认为是病毒吧 2005-5-25 10:52 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 7 楼因为病毒用的就是这种技术：给PE文件加一个Section，然后修改OEP指向自己的Section，执行完之后跳回真正的OEP。但是不知道norton是怎么知道的。我瞎说的，欢迎楼下批评~ 2005-5-25 11:37 0
xxy19804 雪币： 212 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 38 粉丝 0 关注私信	xxy19804 8 楼欢迎高人接着说 2005-5-25 14:29 0
bbsxwk 雪币： 239 活跃值： (190) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 85 粉丝 1 关注私信	bbsxwk 1 9 楼 norton好像不断大小的应该是黑名单 2005-5-25 21:24 0
dHaiHlDebug 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 1 关注私信	dHaiHlDebug 10 楼你写的代码和norton病毒库的特征码相同.....所以norton会报警...可以尝试在你自己加的那段代码中间加上一些无用的代码..如:nop , xor等试一下看会不会报警! 2005-5-25 21:30 0
xxy19804 雪币： 212 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 38 粉丝 0 关注私信	xxy19804 11 楼好，明白了，谢谢各位 2005-5-26 08:21 0
xxy19804 雪币： 212 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 38 粉丝 0 关注私信	xxy19804 12 楼加了几个nop进去，立刻就没事了， 2005-5-26 08:36 0
jskew 雪币： 124 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 352 粉丝 0 关注私信	jskew 1 13 楼所以说杀毒软件是垃圾，你可以找到它的病毒库，然后解压，里面的全是一堆垃圾，死的特征码，病毒代码是活的 2005-5-26 09:44 0
xxy19804 雪币： 212 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 38 粉丝 0 关注私信	xxy19804 14 楼最初由 jskew 发布所以说杀毒软件是垃圾，你可以找到它的病毒库，然后解压，里面的全是一堆垃圾，死的特征码，病毒代码是活的杀毒软件也并不是只会利用病毒特征码， 2005-5-26 19:35 0
天杀雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 53 粉丝 1 关注私信	天杀 15 楼我研究过这个问题: 诺顿有一个特征码检测.是检测壳入口代码的.不是静态检测,是动态执行. 诺顿会把程序在虚拟机中执行1024步.检测的特征码主要是下面这个: call @F @@: pop * sub * 如果在前1024条指令包含这些代码保证马上被杀解决方法:在前面加一个大于1024步骤的循环 2005-5-28 16:24 0
Daniellin 雪币： 202 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	Daniellin 16 楼我都是一个一个软件试，找个加壳后不能杀的！杀毒不是什么加壳都可以杀的你可以试下！！ 2005-5-29 10:59 0
qfejj 雪币： 261 活跃值： (162) 能力值： ( LV13，RANK：320 ) 在线值：发帖 11 回帖 139 粉丝 1 关注私信	qfejj 7 17 楼我曾看过一帖子，说是入口在最后一个区块一般就会被杀毒软件误报。在后面再加个区块就没事了。符上原帖如下： yah, i have problem like that. after check it, kaspersky detect suspicious software. it causes you move your entrypoint to last section. if you want kav don't detect it you can add some packer header like upx : pushad mov esi, 0040b000 lea edi, dword ptr [xxx] ... ... jmp your_EP it will detect PE_patch / UPX / xxx or you can change some little byte on first section (sample): 04xxx1 pushad 04xxx2 mov eax, your_EIP 04xxx3 ret or 04xxx1 pushad 04xxx2 mov eax, 04xxx2 04xxx3 add eax+size to your EP 04xxx4 push eax 04xxx5 ret ... 04xxxx [your code] - if you take code from other source sample, change it. if you try to get API, encrypt API string. Some AV has blacklist if it not in import table. 2005-7-24 17:16 0
lxa 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	lxa 18 楼所谓的内存杀毒是一种很烂的技术,很简单就是你的进程空间,一个一个模块的去搜特征串呀!,我注册了一个软件叫"免疫007",一切搞定了.脚流群的QQ:11461559VIP群QQ:12834753. 2005-7-24 18:09 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 19 楼 lxa：勿重复发此类“广告”倾向的帖子免疫007是北斗压缩的客户版而已 2005-7-24 19:07 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 20 楼 hehe,像那样的做法和自裁有什么区别,他哪个DLL文件估计活不了多久了,要是惹急了那些杀毒软件,他们估计也会去买一个,每升级一次就杀一次,我就不信会比老王的壳难杀.而且这样做还可能会造成一些问题,更重要的是只要开着木马客星之类的监控软件,立刻会报警.玩玩可以,刻意和杀毒作对是死路一条. 2005-7-24 20:26 0
Themida 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 8 回帖 99 粉丝 0 关注私信	Themida 21 楼你是什么人？ 2005-7-24 20:40 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 22 楼我是放暑假没事闲的,随便说说,老大别在意. 2005-7-25 06:44 0
ijia 雪币： 236 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 210 粉丝 0 关注私信	ijia 23 楼在 Upack 的留言簿看到的：当压缩或其它方式处理的PE文件，其入口在最后一个节中时，且该节的节属性为可读写时，会被Macafe杀毒的未知功能误报为"New Win32 Virus"。 norton估计也类似 2005-7-25 11:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复