@@给大家发5个免杀教程--菜鸟进@@(5)
@@给大家发5个免杀教程--菜鸟进@@(5)第五课 特征码修改技巧总结
方法一:直接修改特征码的十六进制法1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下能否正常使用方法二:修改字符串大小写法1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.2.适用范围:特征码所对应的内容必需是字符串,否则不能成功,可以修改大小写的字符串一般是注册表字符串、文件夹目录字符串方法三:等价替换法(相似指令替换)1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.2.适用范围:特征码中必需有可以替换的汇编指令.比如
JN,JNE 换成JMP
je 换成jz
add eax,10换成sub eax,-10
add换成adc
OR换成XOR或者XOR换成OR
方法四:指令顺序调换法1.修改方法:把具有特征码的代码顺序互换一下.2.适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行,上下代码无关的可 以用此法方法五:通用跳转法1.修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.2.适用范围:没有什么条件,是通用的改法,强烈建议大家要掌握这种改法,如果对指令还不是很懂,那还是用这种方法保险点,因为用这个方法不容易出错。特别是在免杀一个新木马的时候,因为特征码很多,如果用指令顺序调换或者直接去修改十六进制,都可能让木马的功能不知不觉的丢失了。
方法六:00填充法修改:把特征码填充00.原理:填充掉就不杀了.缺点:靠运气,除了程序中一些没用的信息外,会做免杀的是不会用这个方法的,这样改后一定要测试上线和功能
方法七:nop移位法修改:把特征码所在地方NOP,再写入.原理:移动一下位置,达到免杀(特征码所在区域必须有多余的空间).缺点:免杀时间短,局限性大,在对Delphi木马免杀nod32的时候这招有特效
其实特征码修改的方法太多了,这些都是些总结来的经验罢了,等以后对免杀熟悉了,对这些方法都熟练贯通了,那么你自己也会发现免杀的新方法的
其他的特征码修改技巧将在以后系统学习,比如 字符串特征码修改、输入表 和 输出表的特征码修改,还有 vmprotect加密特征码、入口点加一、加壳加花 等等
下载地址:
http://www.hackfans.com.cn/video/shikan/miansha/第五课+特征码修改技巧总结.rar
页:
[1]