By: 冰雨

引用:

以过nod32为例说一下word溢出工具的免杀

拿前段时间火狐公布的一个工具演示
需要准备的东东..
word溢出工具一个 myccl一个 multiCcL也可 c32asm一个 时间若干
首先用这个word工具生成一个马 这个word工具我会上传包括改好的以及我演示用的灰色按钮克星
直接定位 定位结果如下设定字节数不一样可能存在稍微差异 具体自己把握

文件名:C:\Documents and Settings\dws\桌面\word捆绑doc\WordExploitTest.doc
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 00010A82_00000002

这处特征不能修改 以这个点为分界 分别定位前后两段

10a90---结尾
结果全部被杀 说明不存在特征

定开头那段
文件名:C:\Documents and Settings\dws\桌面\word捆绑doc\WordExploitTest.doc
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 00010204_0000000C

这处也不能修改 依次向前类推
文件名:C:\Documents and Settings\dws\桌面\word捆绑doc\WordExploitTest.doc
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 0000DEF4_00000008
[特征] 0000DF44_00000004
继续向前 ...
这个本来就很单调 枯燥无味
文件名:C:\Documents and Settings\dws\桌面\word捆绑doc\WordExploitTest.doc
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 0000DE7F_00000010
是table改一下大小写就可 然后到生成器找对应部分 找一下参照不然毫无头绪向上翻一下有个“在屏幕上

显示” 好了就以他为参照到原文件查找 很快就会找到 修改一下保存 ok

最后 在用这个修改完的 生成一个测试 看看有无问题
好了收工
打扫卫生

谢谢分享...

这个说明不太清楚,对于不熟悉的新人来说.不过看起来好像是动画的解释,是不是有动画的啊?

特征码 物理地址/物理长度 如下:
[特征] 00010204_00000001
[特征] 00010208_00000001
[特征] 0001020C_00000001
[特征] 00010210_00000001
[特征] 00010214_00000001
[特征] 00010218_00000001
<还原> 00010B0F_0000087A
请最大化对话框看：
00010203:  FF82 00000083              INC DWORD PTR [EDX+83000000]
00010209:  0000                       ADD [EAX],AL
0001020B:  008400 00008500            ADD [EAX+EAX+850000],AL
00010212:  0000                       ADD [EAX],AL
00010214:  8600                       XCHG [EAX],AL
00010216:  0000                       ADD [EAX],AL
00010218:  8700                       XCHG [EAX],EAX
0001021A:  0000                       ADD [EAX],AL

是用浩天生成器生成的,不知道如何过这一段,还是不能过这一段,?为什么呢?

这片文章也知识告诉你一个思路 具体免杀操作还是要自己修改~  修改免杀除了多尝试没有别的办法，  一味的按照别人告诉你的方法修改是肯定不能长工的，所谓公开不免杀就是这个道理。