### 前言
最近在学习病毒分析,在玉师傅的指导下完成了一次小实验,遂发出来纪念一下。
### 环境
kali :192.168.0.108
win10:192.168.0.103
### 开始
1,首先使用msf生成一段shellcode,并将其编译
编译,此时已被火绒直接杀掉,关闭火绒重新编译
2,编译完成后将exe拖入OD得到其汇编代码
进入call eax内部
从灰色背景这一句开始都是shellcode的汇编代码
我们只选比较重要的一段
3,分析火绒的抓取特征
经过分段测试火绒抓取的是这一段
4,达到效果
既然已经知道抓取特征,那么我们只要在其特征之中添加混淆指令即可,比如 push,pop,mov等
测试
本文作者:意
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/184719.html
必填 您当前尚未登录。 登录? 注册
必填(保密)膜拜大佬
通篇最重要的就一句话:分析火绒的抓取特征
经过分段测试火绒抓取的是这一段
然后还没细说。。