PEiD 分析檔案結構 (1)
2008-03-22 00:02:51 / 個人分類:Detection
簡介 :
修改自解壓縮檔是黑客用來掩釋惡意程式的其中一使用方法
目前來說, 效果不錯, 可以避開大部份不含主動防護的防毒軟體 (參考 : VirusTotal 報告)
為止, 這特徵碼可以在掃瞄/執行前, 透過PEiD分析檔案是否修改過的自解壓縮檔
使用步驟 :
1. 複製底下的代碼
3. 已安裝xInfo外掛程式的, 可以複製底下的代碼到xInfo.txt
1. 即使知道檔案是修改過的自解壓縮檔, 也不要嘗試透過WinRAR開啟檔案, 這會導致檔案執行
因不當使用這輔助檔所引致的問題, 小弟恕不負責
Ps. 有關問題 (如 : 建議, 錯誤等) 可回覆這文章或PM小弟
[ 本帖最後由 000110 於 2008-3-22 00:00 編輯 ]
修改自解壓縮檔是黑客用來掩釋惡意程式的其中一使用方法
目前來說, 效果不錯, 可以避開大部份不含主動防護的防毒軟體 (參考 : VirusTotal 報告)
為止, 這特徵碼可以在掃瞄/執行前, 透過PEiD分析檔案是否修改過的自解壓縮檔
使用步驟 :
1. 複製底下的代碼
CODE:
[RAR SFX (Sgin by 000110@AVPClub)]
signature = 80 3A 52 75 2D 80 7A 01 61 75 27 80 7A 02 72 75 21 80 7A 03 21 75 1B 80 7A 04 1A 75 15 80 7A 05 07 75 0F 80 7A 06 00 75 09
ep_only = false
[RAR SFX Modification -> Possible Malware (Sgin by 000110@AVPClub)]
signature = 80 3A 52 75 2D 80 7A 01 ?? 75 27 80 7A 02 ?? 75 21 80 7A 03 ?? 75 1B 80 7A 04 ?? 75 15 80 7A 05 ?? 75 0F 80 7A 06 ?? 75 09
ep_only = false2. 開啟 userdb.txt 並貼上3. 已安裝xInfo外掛程式的, 可以複製底下的代碼到xInfo.txt
CODE:
[RAR SFX Modification -> Possible Malware (Sgin by 000110@AVPClub)]
Info=Possible Malware, Usually be used by Hacker (Sgin by 000110@AVPClub)注意事項 : 1. 即使知道檔案是修改過的自解壓縮檔, 也不要嘗試透過WinRAR開啟檔案, 這會導致檔案執行
因不當使用這輔助檔所引致的問題, 小弟恕不負責
Ps. 有關問題 (如 : 建議, 錯誤等) 可回覆這文章或PM小弟
[ 本帖最後由 000110 於 2008-3-22 00:00 編輯 ]
論壇模式 推薦 收藏 等級(0) 編輯 管理 查看(741) 評論(7)
TAG: Detection
-
000110
發佈於2008-03-27 13:27:11
-
回復 7# 的帖子
這方法不算是加花
-
wsc47621發佈於2008-03-27 12:47:48
-
這個算加花吧
啟發對這個有效嗎?
-
domino發佈於2008-03-27 10:49:55
-
哀對阿!
不然啟發式掃毒是做什麼的~
-
000110
發佈於2008-03-27 10:35:36
-
回復 4# 的帖子
對有虛擬機技術的防毒軟體
花指令還是沒有用處
不過花指令難以特徵碼偵測
-
domino發佈於2008-03-27 08:03:49
-
這樣做沒有什麼意義! 速度再快也跟不上變化! 更何況是花指令..
您有發現嗎? RAR SFX 的特偵其實都一樣!2.GIF)
-
000110
發佈於2008-03-23 23:36:29
-
QUOTE:
原帖由 upside 於 2008-3-23 21:06 發表
第二部應該針對另外一些免殺技術, 補充防毒軟體的不足
這麼有研究性的 沒有人來看嗎
希望能出第二部
之前研究了很多加花指令的檔案
還未能可以取得好的特徵碼 (一對多花指令)
不想像卡巴, 每一花指令都有單一特徵碼
[ 本帖最後由 000110 於 2008-3-23 23:38 編輯 ]
-
upside
發佈於2008-03-23 21:06:00
-
這麼有研究性的 沒有人來看嗎
希望能出第二部