采用Vmprotect免杀过NDO32

miswe

顶．！
希望对莪有用．．看看先．！
...........

dongjichao

谢谢 楼主 分享

单元成功

240106

[s:159] 很不错,但是我感觉NOD32很好过..个人看法

zxasqw33

采用Vmprotect免杀过NDO32
NOD32是杀在输入表中的，免杀的方法一般采用MyCCL复合特征码定位器反向扫描，这样可以定位在代码区，基本上是一些JMP和CALL之类的命令，可以在OD上直接采用跳转法进行修改。但是我在免杀中经常碰到这样的情况，那就是它的特征码特别多，多的时候达到20～30处，采用跳转法改的难度是可想而知的，而且有时候在OD里修改后保存文件的时候提示无法在内存中定位，那就不能修改了。
我的办法是采用VMProtect，用它来自动修改特征码。VMProtect1.23之后都是演示版，只能修改一处特征码，我采用VMProtect1.22，它就没这个限制。先定位好NOD32特征码，用OC转换成内存地址，然后用VMProtect打开需要免杀的文件，点右键选择添加地址，输入一处特征码内存地址，程序右侧显示一行特征代码，这里要注意如果显示几行代码，点击特征代码，其它的不选，可以避免生成的程序体积太大。依次添加各个内存地址，好了之后点击右侧的Dump，然后选择工具栏中的编译（或按F9），这样就生成了NOD32免杀的程序。采用这个方法的好处是不用一句一句的修改，体积增加也还可以。