【免杀不求人】无需定位特征码，指令变异 位移过杀软。

没意思

看看值得学习

heudxk

嗨~大家好！我是腾龙~
我的QQ：876****0701
百度空间http://hi.baidu.com/TL968

============================================================================
今天给大家带来的是 【免杀不求人】无需定位特征码，指令变异 位移过杀软。
对于流行度广泛的黑客程序来说，完全用定位特征码来达到免杀的效果，
是一件非常繁琐的事情。比如大家比较常用的灰鸽子，上兴， PCSHARE等
用原版定位免杀的话，仅定位特征码就会花去大量的时间，往往还会定位出很多的假码。
今天我就给大家讲一下无需定位特征码，变异指令过杀软的一点小技巧。
当然这种方法只对部分杀软有效，此法能减少多数杀软的特征码，方便我们定位,减少工作量。
因为本人独爱PCSHARE，自然还是以PCSHARE为例为大家讲解了，尽量贴近菜鸟，傻瓜化操作。
希望通过这个动画能给大家提供一个思路，举一反三，推陈出新，牛人飞过吧~
==============================================================================

免杀基础：1。汇编基本知识
2。OD工具基本用法
学习要点：1。指令等值替换法
2。CALL指令跟踪法
3。指令位移法

老习惯看一下病毒库，这是刚刚升级过的病毒库。查杀一下文件，EXE文件被杀掉了。
下面我们就来变异EXE文件的指令，来欺骗杀软，逃避杀软查杀。
首先用PEID查一下文件，无壳文件显示为：Microsoft Visual C++ 5.0 [Overlay]
接下来主要是实例操作，就不做文字讲解了，大家仔细看就行了。
首先用OD载入程序，来到程序入口点，F8单步往下走，分析指令，看操作~

经过这样的简单的修改已经达到了免杀的效果，我们再用杀软杀一下，已经免杀了
大家看到了，无需定位特征码，简单变异一下指令，就轻松过了杀软。

用PEID查一下文件,显示：什么都没找到[Overlay] *

我们替换一下原文件，测试一下功能，全监控的状态下，无提示上线了，功能无损。

简单讲一下，这种修改方法的优缺点
优点：方法简单，免杀效果好；
缺点：平台兼容性，移植性较差。

点击下载视频动画