Prinsip Positioning
Menemukan metode signature: file signature yang harus diisi dalam data kami (seperti 0) untuk menggantikan, dan bahwa perangkat lunak anti-virus tidak akan alarm, untuk menentukan lokasi tanda tangan.
2 tanda tangan locator bekerja: Mengganti file asli adalah 0 byte di bagian, dan kemudian menghasilkan file baru, sesuai dengan hasil software anti-virus untuk mendeteksi tanda tangan dokumen-dokumen untuk menentukan lokasi
Editing Tools
1.CCL (signature locator, karena peningkatan membunuh lunak sekarang usang)
2.MYCCL (signature Locator, oleh programmer Tanknight ditingkatkan atas dasar CCL)
3.OllyDbg (perubahan tanda tangan dapat digunakan untuk secara dinamis membongkar Catatan: menggunakannya untuk memodifikasi tanda tangan, gunakan OC diubah menjadi alamat memori)4.C32ASM (modifikasi tanda tangan juga dapat digunakan untuk pembongkaran statis)
5.OC (alat kecil yang digunakan untuk menghitung alamat offset alamat memori dari file)
6.UltaEdit-32 (hex editor tanda tangan manual untuk posisi yang akurat atau diubah)
Metode Modifikasi
Perubahan tanda tangan termasuk modifikasi dan memori file tanda tangan perubahan tanda tangan sebagai dua jenis metode modifikasi signature
Universal. Signature begitu populer pada metode modifikasi untuk total bagian.
Metode Satu: langsung mengubah metode tanda tangan hex
Sebuah metode dimodifikasi: tanda tangan dari digit heksadesimal yang sesuai ke dalam heksadesimal miskin atau hampir.
2 Cakupan: Pastikan untuk menentukan tanda tangan heksadesimal yang sesuai, pastikan untuk menguji yang sudah dimodifikasi dapat
Tidak ada penggunaan normal.
Metode Dua: Memodifikasi hukum tali kasus
Sebuah metode dimodifikasi: tanda tangan dari isi yang sesuai string, asalkan ukuran kata-kata secara bergantian klik di atasnya.
2 Cakupan: signature sesuai dengan konten harus string, atau tidak bisa sukses.
Metode tiga: metode substitusi setara
Sebuah metode dimodifikasi: Quasi dapat berhasil menggantikan instruksi sesuai perintah signature petunjuk perakitan.
2 Lingkup aplikasi: harus memiliki tanda tangan dari instruksi perakitan dapat menggantikan JE tersebut, JNE diganti JMP dll.
Jika perakitan tidak dapat memahami offset untuk melihat manual kompilasi 8080.
Metode empat: perintah hukum pertukaran urutan
Sebuah metode dimodifikasi: swap dengan kode tanda tangan urutan.
2 Cakupan:. Memiliki beberapa keterbatasan, tidak boleh mempengaruhi eksekusi normal dari kode program pertukaran
Metode lima: Hukum secara umum Jump
Sebuah metode dimodifikasi: bergerak tanda tangan dari nol daerah (lihat kesenjangan di kode) setelah eksekusi, menggunakan repatriasi tanpa syarat dari kode instruksi jmp eksekusi asli berlanjut pada instruksi berikutnya
2 Lingkup aplikasi: reformasi hukum umum, kami sarankan Anda untuk memahami hukum perubahan ini.
|