|
 
- 帖子
- 143
- 积分
- 419
- 威望
- 415
- 金钱
- 446
- 在线时间
- 65 小时
     
|
前几天呢,下了个上兴远程控制个人版,
做了下免杀,金山过了,
瑞星的表面内存也过了。
感觉这两个杀软都很垃圾。呵呵
没想到运行的时候,瑞星提示了木马行为防御。
这下有点糊涂了。以前做免杀都没有遇过啊。
问了一位朋友,他说这个木马行为防御也有特征码。
和定位主动防御特征码差不多(有点差别)
于是定位了下,果然。
瑞星杀的是输入表。这个简单啊,
重建了下输入表,运行,还是提示木马行为防御
定位了下,还是杀那个函数。
移位法试了下,可他妈还是提示。
加花,加壳都用上了,还是他奶奶的提示。
这下有点没辄了,
郁闷了整整两天。找不到任何办法,
什么是木马行为防御,
也就是查到一些木马的小动作,
比如插入IE进程,加载自己为系统服务,把自己设置为系统启动项,
隐藏自身进程等等。
我在生成服务端的时候一一去掉,都还是提示。
想到头快爆了(版主也不是很牛C的)
网上搜索也没有相关的免杀方法。
无语了。说了这么多的废话,切入正题吧。嘻嘻
后来,看到一位站长朋友上线了,龙域的管理员。
简单的介绍了下我的问题,
他推荐我去找龙域的一位会员(好像是会员吧,以前没有联系过)
这位会员帮我的木马做了下免杀,说是加了个版本
本地测试,瑞星果然没有提示。
也能正常上线,
经过前后木马比对,
用Restorator打开
免杀后的木马多了一个版本信息。
今天写这个帖子主要是告诉大家,加版本也是免杀木马的一个方法。
不比以往的改特征码,加花,加壳方法,
有的时候,简单的修改久可以达到免杀木马的效果
至于版本信息么,大家可以找到一个有版本信息的文件 用Restorator提取出来
再导入木马中。
截张图给大家。 |
附件: 您需要登录才可以下载或查看附件。没有帐号?注册
|
发表于 2009-3-6 16:41
| 
