首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
请教卡巴报毒的规则
发表于: 2006-10-24 20:20 4478

请教卡巴报毒的规则

bloodant 活跃值
2006-10-24 20:20
4478
我在尝试自己写个壳玩
现在只不过做了在原文件尾加了一个Section
并把EntryPoint指向了这里,然后Jmp回OEP
就以上这样简单的操作就被卡巴报毒了:[Type_Win32]
关了她可以正常运行

不知道她报毒的依据是什么?
我尝试了修改BaseOfCode, 每个区段头的Characteristics的方法都无效
搜索了论坛没看到答案
第一贴:)希望大家多多赐教。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (8)
kanxue
雪    币: 44229
活跃值: (19960)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
2
估计原因:EntryPoint指向了最后一个区块
一般编译的程序不会有这现像出现的。
2006-10-24 20:21
0
bloodant
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
经测试果然如此,再加个段就没事了
可能很多病毒有此特征吧,让卡巴如此无理

谢谢Kanxue老大
2006-10-24 20:31
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
4
最后加个空区段看看
2006-10-24 20:32
0
bloodant
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
我DIY了一个PE文件
用LoadPE和Stud_PE查看似乎没问题
可执行的时候总是提示“不是有效的WIN32文件”,连运行出错的机会都没有
请大家帮忙看看问题出在哪里,谢谢

附件:_ketus.exe, 16k
链接:http://www.live-share.com/files/72744/_ketus.exe.html
2006-10-25 15:51
0
bloodant
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
一个字节一个字节比对发现
optional_header.MajorSubsystemVersion 不能不添

继续……
2006-10-25 17:30
0
nbw
雪    币: 339
活跃值: (1510)
能力值: ( LV13,RANK:970 )
在线值:
发帖
回帖
粉丝
私信
7
呃不是卡巴?理,是以前的病毒都呃麽做,所以呃肺情?被作_?《拘羞?蒯缌恕
2006-10-25 20:38
0
flong
雪    币: 207
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
行为检测?
国内的杀毒软件好像都没有这一招
2006-10-26 23:10
0
skyXnet
雪    币: 226
活跃值: (115)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
9
不是什么行为检测.

就是EPO入口点检测方式
2006-10-27 13:23
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//