[原创]小议“非法模块”与“第三方检测”的那些事儿（3）-举个栗子~-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]小议“非法模块”与“第三方检测”的那些事儿（3）-举个栗子~

发表于: 2013-5-2 12:42 13965

[原创]小议“非法模块”与“第三方检测”的那些事儿（3）-举个栗子~

cvcvxk

2013-5-2 12:42

13965

（2）（1）上面谈了很多原理层次的东西，很多人不懂，所以补充一篇例子

先举一个关于特征码的例子：
举例是最常见的一个东西易语言用的超级模块。
基本上这个东西都是死于作者在里面加了这么一大段废话。

处理方式：将这里一大段的文字清0~
扩展：
其他字符串的处理：字符串全部使用其他的和谐编码方法存储，不要明文出现。

接着举个关于模块名称与文件HASH的例子：
举例易语言非独立编译的DLL加载的那几个模块
处理方式：独立编译并加壳修改文件名
扩展：
将模块加壳，或者动态修改文件的最后一个节的大小写入随机垃圾数据，或者每次加载前都修改OEP的代码（就是改OEP到添加的节或者最后节扩大的地方然后junkcode一堆，再jmp回去而已）。

接着举个关于模块特征之pdb路径
举例最新的Pchunter32被检测

处理方式：帮linxer大侠把pdb路径抹除~~
扩展：
通过合理方式禁止对关键进程的文件的访问（...）。

最后举个例子
举例：验证码处理模块
某验证码模块导出函数SendFileEx 参数格式...
于是检测的特征是谁导出谁被检测。
处理方式：修改导出名称或者以无名称的符号导出形态~~
扩展：除了导出之外，导入和资源表也可以是特征...

本篇完。

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

1.jpg （81.17kb，10次下载）
3.jpg （24.57kb，4次下载）

收藏・13

免费・6

支持

最新回复 (17)
ugvjewxf 雪币： 615 活跃值： (590) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 2 楼标记下，慢慢消化，，， 2013-5-2 12:56 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 3 楼顶下~~ LZ是怎么知道它检测这些文字？我想知道这个... 2013-5-2 16:02 0
辉煌世纪雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 129 粉丝 0 关注私信	辉煌世纪 4 楼这段文字应该编译后就没有了吧只有在调试的情况下才有的 2013-5-2 18:25 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 5 楼编译之后依然存在，清晰可见~~ 2013-5-2 19:03 0
最爱小铅雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 0 关注私信	最爱小铅 6 楼标记下。慢慢学习 2013-6-4 10:12 0
菊花七雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 42 粉丝 0 关注私信	菊花七 7 楼好短........ 2013-6-17 18:36 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 8 楼加个upx就没有了啊……谁写外挂不加壳啊 2013-6-17 19:44 0
EClient 雪币： 33 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	EClient 9 楼小白白学习了 2013-6-17 19:51 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 10 楼 UPX一样有~~上面举例内存文字样例的加了VMP~~~ 2013-6-17 21:12 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 11 楼不会吧……是不是最小模式下加的vmp…… 要么就用的是易语言这种渣子语言 c++貌似不会有这个问题(完全模式下) 2013-6-17 21:16 0
viphack 雪币： 219 活跃值： (783) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 12 楼超级模块这个家伙我最讨厌了~~~ 希望全部游戏都来检测他 2013-6-17 21:18 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 13 楼 e语言是个渣渣语言……我最讨厌他了 2013-6-17 21:26 0
asdli 雪币： 81 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 161 粉丝 0 关注私信	asdli 14 楼 mark下 2013-6-17 23:03 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 15 楼 C++,你SDK没把字符串包裹的话，还是可以搜到的~~~ 2013-6-18 07:03 0
sssccc 雪币： 1361 活跃值： (1121) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 131 粉丝 39 关注私信	sssccc 16 楼 TCHAR szKernel32[] = {"Kernel32.dll"}; 改为 TCHAR szKernel32[] = {'K','e','r','n','e','l','3','2','.','d','l','l','\0'}; 还可以再加个sdk.... 2013-6-18 07:40 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 17 楼 [QUOTE=sssccc;1189432]TCHAR szKernel32[] = {"Kernel32.dll"}; 改为 TCHAR szKernel32[] = {'K','e','r','n','e','l','3','2','.','d','l','l','\0'}; 还可以再加个sdk....[/QUOTE] 你这样还是可以找到！要这么用 TCHAR *szKernel32=VMProtectDecryptString(TEXT("Kernel32.dll")); 才对~~ 2013-6-18 08:21 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 18 楼 : 蛋都碎了……… 2013-6-18 11:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cvcvxk

125

发帖

3095

回帖

760

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
ugvjewxf 雪币： 615 活跃值： (590) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 2 楼标记下，慢慢消化，，， 2013-5-2 12:56 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 3 楼顶下~~ LZ是怎么知道它检测这些文字？我想知道这个... 2013-5-2 16:02 0
辉煌世纪雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 129 粉丝 0 关注私信	辉煌世纪 4 楼这段文字应该编译后就没有了吧只有在调试的情况下才有的 2013-5-2 18:25 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 5 楼编译之后依然存在，清晰可见~~ 2013-5-2 19:03 0
最爱小铅雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 0 关注私信	最爱小铅 6 楼标记下。慢慢学习 2013-6-4 10:12 0
菊花七雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 42 粉丝 0 关注私信	菊花七 7 楼好短........ 2013-6-17 18:36 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 8 楼加个upx就没有了啊……谁写外挂不加壳啊 2013-6-17 19:44 0
EClient 雪币： 33 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	EClient 9 楼小白白学习了 2013-6-17 19:51 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 10 楼 UPX一样有~~上面举例内存文字样例的加了VMP~~~ 2013-6-17 21:12 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 11 楼不会吧……是不是最小模式下加的vmp…… 要么就用的是易语言这种渣子语言 c++貌似不会有这个问题(完全模式下) 2013-6-17 21:16 0
viphack 雪币： 219 活跃值： (783) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 12 楼超级模块这个家伙我最讨厌了~~~ 希望全部游戏都来检测他 2013-6-17 21:18 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 13 楼 e语言是个渣渣语言……我最讨厌他了 2013-6-17 21:26 0
asdli 雪币： 81 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 161 粉丝 0 关注私信	asdli 14 楼 mark下 2013-6-17 23:03 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 15 楼 C++,你SDK没把字符串包裹的话，还是可以搜到的~~~ 2013-6-18 07:03 0
sssccc 雪币： 1361 活跃值： (1121) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 131 粉丝 39 关注私信	sssccc 16 楼 TCHAR szKernel32[] = {"Kernel32.dll"}; 改为 TCHAR szKernel32[] = {'K','e','r','n','e','l','3','2','.','d','l','l','\0'}; 还可以再加个sdk.... 2013-6-18 07:40 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 17 楼 [QUOTE=sssccc;1189432]TCHAR szKernel32[] = {"Kernel32.dll"}; 改为 TCHAR szKernel32[] = {'K','e','r','n','e','l','3','2','.','d','l','l','\0'}; 还可以再加个sdk....[/QUOTE] 你这样还是可以找到！要这么用 TCHAR *szKernel32=VMProtectDecryptString(TEXT("Kernel32.dll")); 才对~~ 2013-6-18 08:21 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 18 楼 : 蛋都碎了……… 2013-6-18 11:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复