Обходной подписи с редактированием Hex


1

Недавно я начал учиться на обход AV, найдя AV-подпись на nc.exe (NetCat) и сменив его, чтобы увидеть, как он работает. Я уже нашел место подписи с методом расщепления. Затем, я должен открыть nc.exe с шестнадцатеричным редактором и изменить Sig.

Но, вот что это выглядит следующим образом:

enter image description here

И файл будет поврежден путем ее редактирования (добавление или удаление байтов).

Мой вопрос: Что делать для редактирования в этих ситуациях? Что я должен знать для успешного редактирования двоичных файлов?

Если я получу все это неправильно, скажите мне, что я должен искать.


Примечание: подписи в .bss и .text раздела файла

  0

Это будет больше на тему в Рекомендациях ПО SE. 11 дек. 172017-12-11 19:21:24

  0

@ Будем ли я думать, что программное обеспечение здесь не имеет значения, просто концепция и способ, которым вы это делаете 12 дек. 172017-12-12 06:47:13

2

Я рекомендовал бы использовать что-то такое, как OllyDbg или IDA PRO, а не только простой двоичный редактор, так как только с помощью двоичного редактора вы получили не знаю, какой раздел PE вы редактируете. Например, вы можете редактировать раздел PE .text и редактировать важную часть программы, а не .idata или .data раздел, который просто хранит переменные данные.

Таким образом, несколько методов аудиовидеокодеры могли бы использовать для обнаружения вредоносных программ являются:

  1. Контрольной сумма всего файла в течение известного вредоносной программы
  2. контрольная сумма к .text (также может быть названо .code) раздел PE, поскольку по умолчанию эти страницы не отмечены разрешениями WRITE.
  3. Контрольная сумма шаблона, который является вредоносным, например OpenProcess с WriteProcessMemory, часто используется для инъекции библиотек DLL или кода в другие процессы. Мы могли бы просто создать подпись для этой части кода

Обход Метод 1:

случайно HexEditting вы бы удалось избежать метод обнаружения AV 1 (смотри выше), но метод 2 и 3 обнаружит вредоносное ПО все еще. Если вы не перезаписали все, что необходимо для выполнения вашей программы.

Обходя Метод 2:

Перепишите простую инструкцию или сделать JMP закодировать-пещеру и положил перезаписаны код туда и обратно JMP к следующей инструкции. Таким образом, вы будете выполнять точно такой же код, но разные потоки потока и .text будут отличаться.

Обходя Способ 3:

Чтобы иметь возможность обойти метод 3 - Вам нужно будет добавить код вредного между каждым вызовом или добавить JMP кодовой пещеры и есть набор команд там. Таким образом, код все равно будет тем же, но байт-подпись будет совершенно другой.

Ваше лучшее, что нужно знать о языке ассемблера и узнайте, как использовать IDA PRO или OllyDbg, и узнайте о программах исправления, прежде чем переходить на нечто более сложное, например, в обход AV.