欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

小议“非法模块”与“第三方检测”的那些事儿(3)-举个栗子~

程序员文章站 2022-03-19 11:14:56
(2)(1)上面谈了很多原理层次的东西,很多人不懂,所以补充一篇例子 先举一个关于特征码的例子: 举例是最常见的一个东西 易语言用的超级模块。 基本上这个东西都是死于作者在里面加了这么一...

(2)(1)上面谈了很多原理层次的东西,很多人不懂,所以补充一篇例子

先举一个关于特征码的例子:
举例是最常见的一个东西 易语言用的超级模块。
基本上这个东西都是死于作者在里面加了这么一大段废话。
小议“非法模块”与“第三方检测”的那些事儿(3)-举个栗子~处理方式:将这里一大段的文字清0~
扩展:
其他字符串的处理:字符串全部使用其他的和谐编码方法存储,不要明文出现。

接着举个关于模块名称与文件HASH的例子:
举例 易语言非独立编译的DLL加载的那几个模块
处理方式:独立编译并加壳修改文件名
扩展:
将模块加壳,或者动态修改文件的最后一个节的大小写入随机垃圾数据,或者每次加载前都修改OEP的代码(就是改OEP到添加的节或者最后节扩大的地方然后junkcode一堆,再jmp回去而已)。

接着举个关于模块特征之pdb路径
举例最新的Pchunter32被检测

小议“非法模块”与“第三方检测”的那些事儿(3)-举个栗子~



处理方式:帮linxer大侠把pdb路径抹除~~
扩展:
通过合理方式禁止对关键进程的文件的访问(...)。

最后举个例子
举例:验证码处理模块
某验证码模块导出函数SendFileEx 参数格式...
于是检测的特征是谁导出谁被检测。
处理方式:修改导出名称或者以无名称的符号导出形态~~
扩展:除了导出之外,导入和资源表也可以是特征...

本篇完。