卡巴斯基还有这规则!

                 最近在写一个加壳变形引擎,给同学测试,凡是经过我程序处理过的卡巴斯基都报“TYPE_Win32”,真让人郁闷。为啥呢?

                 我现在都不装杀毒软件,无奈,要查找原因还是要自己装一个试试,这个比较便宜,三年的Key。http://www.amazon.cn/mn/detailApp?ref=DT_RV&uid=168-8556120-7865030&prodid=pcee808003

                 最初的想法是程序的代码与TYPE_Win32病毒特征码有一样的地方(跟我实验室一个同学曾经的观点一样),于是就改来改去,改来改去,几乎替换过所有的代码,还是不行。最后我觉得根本就不是代码的事,可能跟程序结构有关。

                 昨天终于发现,把程序的入口点更改以后卡巴就没动静了!居然还有这样的规则,如果程序的入口点在最后一个区块,卡巴斯基会以很大的概率报“TYPE_Win32“,晚上修改程序,在处理过的可执行程序后面加了两个垃圾区块”.UPX“,”.Upack“既逃过了卡巴,又可以起到栽赃的作用,哈哈!

               变形模块也运转良好,下午在给程序修修边幅就可以拿出来与大家分享了,嘿嘿!

This entry was posted on 星期三, 四月 8th, 2009 at 12:16 下午. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

7 Responses to “卡巴斯基还有这规则!”

Leave a Reply