살인을 피하는 법을 배우는 방법은 무엇입니까?
안티바이러스 기술의 분류 1. 오픈소스 안티바이러스 기술: 바이러스 및 트로이목마 소스코드가 있다는 전제 하에 소스코드를 수정하여 안티바이러스 소프트웨어를 회피하는 방법을 말한다.
2. 수동 안티 바이러스: 바이러스, 트로이 목마의 실행 파일(PE 파일)만 있는 경우의 안티 바이러스를 말합니다. [이 단락 편집] 5. 안티 킬링 기술을 이해하고 배우는 방법 현재 중국에는 해커를 위한 안티 킬링 기술을 소개하는 두 권의 책이 있습니다: "안티 킬링 해커 입문"과 "안티 킬링 해커 마스터하기". .
'살인을 피하기 위한 해킹 입문'이 최근 출간됐는데 소개가 더 자세하고, 내용도 더 꼼꼼하고 깊이있게 설명되어 있다.
"안티바이러스를 피하는 해커 마스터하기"는 앞서 출간되었기 때문에 바이러스 백신 기술에 대한 소개가 그다지 자세하게 나와 있지는 않습니다. 그러나 함께 제공되는 CD에는 드물게 수백 메가바이트에 달하는 작동 비디오가 포함되어 있습니다. 귀중한. [이 문단 편집] 6. 백신 기술 개요 수동 백신 분류:
1. 파일 백신 및 검사: 프로그램을 실행하지 말고 백신 소프트웨어를 사용하여 프로그램을 검사합니다. 그리고 결과를 얻으세요.
2. 메모리 보호 및 킬링: 판단 방법 1gt; 실행 후 안티 바이러스 소프트웨어의 메모리 스캐닝 및 킬링 기능을 사용합니다.
2gt; 바이러스 백신 소프트웨어의 메모리 검색 및 종료 기능입니다.
서명 코드란 무엇입니까?
1. 의미: 서명 코드를 식별할 수 있는 64바이트 이하의 문자열입니다. 프로그램을 바이러스로 인식합니다.
p>2. 일반적으로 바이러스 백신 소프트웨어는 잘못된 경고 비율을 줄이기 위해 여러 기능 문자열을 추출합니다. 이때 우리는 종종 다음과 같은 방법으로 바이러스 백신 효과를 얻을 수 있습니다. 물론 일부 바이러스 백신 소프트웨어에는 두 가지가 모두 필요합니다. (이러한 방법은 나중에 자세히 소개하겠습니다.)
3. 서명의 구체적인 개념을 이해하기 위한 다이어그램
서명의 위치와 원리 :
1. 서명 코드를 찾는 방법: 파일의 서명 코드를 다음으로 대체하는 경우 우리가 입력한 데이터(예: 0)를 사용하면 바이러스 백신 소프트웨어가 경보를 울리지 않습니다.
이를 사용하여 서명 위치를 확인합니다.
2. 서명 로케이터: 원본 파일의 일부 바이트를 0으로 바꾼 다음 새 파일을 생성한 다음 바이러스에 따라 바이러스를 죽입니다.
소프트웨어는 이러한 파일의 결과를 탐지하고 위치를 결정하는 데 사용됩니다. 서명
서명 위치 지정 및 수정을 이해하기 위한 도구:
1. CCL(서명 코드 로케이터)
2.OllyDbg(서명 수정)
p>3.OC(파일 주소에서 메모리 주소까지 계산하는 데 사용되는 작은 도구)
4.UltaEdit-32(16진수 시스템 편집기, 수동으로 정확한 위치 지정 또는 기능 코드 수정에 사용됨)
기능 코드 수정 방법:
기능 코드 수정에는 파일 기능 코드 수정과 메모리 기능 코드 수정이 포함됩니다. 기능 코드를 수정하는 두 가지 방법은 다음과 같습니다.
만능인. 따라서 현재 널리 사용되는 서명 수정 방법에 대한 일반적인 섹션을 제공하겠습니다.
방법 1: 기능코드의 16진수 방식을 직접 수정
1. 수정방법: 기능코드에 해당하는 16진수를 수치차이가 1 또는 이와 유사한 것으로 변경 16진수.
2. 적용 범위: 기능 코드에 해당하는 16진수를 정확하게 찾아 수정 후 정상적으로 사용이 가능한지 반드시 테스트해 보세요.
/p>
방법 2: 문자열의 대소문자 수정
1. 수정 방법: 기능코드에 해당하는 내용을 문자열로 만들고, 대문자와 소문자를 바꾸면 됩니다.
2. 적용 범위: 기능 코드에 해당하는 내용은 문자열이어야 하며 그렇지 않으면 성공하지 못합니다.
방법 3: 동등한 대체 방법
1. : 기능 코드에 해당하는 조립 지침을 유사한 기능을 가진 지침으로 대체합니다.
2. 적용 범위: 기능 코드에 교체 가능한 조립 지침이 있어야 합니다. 예를 들어 JN, JNE는 다음과 같이 대체되어야 합니다. JMP 잠깐만요.
나처럼 어셈블리를 이해하지 못하는 경우 8080 어셈블리 매뉴얼을 확인하세요.
방법 4: 명령어 순서 교환 방법
1. 수정 방법: 코드 순서를 특성 코드로 교환합니다.
2. 적용 범위: 코드 교환은 프로그램의 정상적인 실행에 영향을 미치지 않아야 합니다.
방법 5: 범용 점프 방법
1. 수정 방법: 기능 코드를 0 영역(코드의 간격 참조)으로 이동한 후 다시 JMP로 점프하여 실행합니다.
2. 적용 범위: 조건은 없으며 일반적인 수정 방법입니다. 모든 사람이 이 수정 방법을 숙지하는 것이 좋습니다.
트로이 목마 방지를 위한 포괄적인 수정 방법입니다. 바이러스:
파일에 대한 바이러스 백신을 방지하는 방법:
1. 콜드 셸 추가
예를 들어 프로그램이 팬케이크인 경우 쉘은 포장 백으로, 포장 백에 무엇이 들어 있는지 알 수 없도록 합니다. 더 일반적인 쉘은 일반적으로 바이러스 백신 소프트웨어로 식별하기 쉽기 때문에 때로는 일반적이지 않은 쉘, 즉 일반적으로 사용되지 않는 쉘이 포장에 사용됩니다. 지금 츄잉껌을 사러 가보면 포장이 최소한 두 겹 이상 되어 있어서 껍질에도 여러 개의 껍질이 추가될 수 있어 백신 소프트웨어가 이해하기 어렵게 된다는 사실을 알게 될 것입니다. 건조제, 독극물 등의 문구가 적힌 가방을 보면 관심이 없을 수도 있습니다. 이는 하나의 쉘을 다른 쉘로 위장하여 안티 바이러스 소프트웨어의 정상적인 탐지를 방해하는 위장 쉘입니다.
2. 지침 추가
추가는 바이러스 살해를 방지하기 위해 일반적으로 사용되는 방법입니다. 추가의 원리는 추가 지침(일부 정크 지침, 유형은 더하기 1 빼기 1)입니다. 이런 쓸데없는 말)은 안티 바이러스 소프트웨어가 서명을 탐지하는 것을 방해하고 안티 바이러스 소프트웨어의 정상적인 탐지를 방해합니다. 비용을 추가한 후에 일부 바이러스 백신 소프트웨어는 이를 감지할 수 없지만 Jiangmin 바이러스 백신 소프트웨어와 같은 일부 강력한 바이러스 백신 소프트웨어는 여전히 바이러스를 죽일 수 있습니다. 이는 '킬프리(kill-free)' 기술의 가장 기본적인 단계라고 할 수 있다.
3. 프로그램 진입점 변경
4. 트로이 목마 파일 서명을 변경하는 다섯 가지 일반적인 방법("메모리 서명 수정" 참조)
5. 기타 안티 바이러스 수정 기술
메모리 서명 수정:
1. 서명의 16진수 방법을 직접 수정
2. p>
3. 동등한 대체 방법
4. 명령어 순서 교환 방법
5.