定位出现死循环的个人解决方法

笑面虎

也是个不错 的解决办法哈

xkc

看不懂 太多了

oddysus

转自小熊论坛
定位出现死循环的个人解决方法
最近杀毒软件也不像原来一样简简单单就过了。一些杀毒软件在定位特征码的时候出现了死循环的现象，论坛好多朋友都在问。今天我要说的也就是这个问题。
卡巴，金山在定位的时候出现比较厉害的死循环。其实我们可以很简单的避开死循环。先说一下为什么会出现死循环，其实这只是复合特征码的常识而已，没有什么可以多议论的。我们在配置的时候，更换一下目录，名字，还有安装名称等（尤其是鸽子），这样做有什么好处呢，在定位的时候特征码比较少。修改起来方便而已。死循环其实就是在一处特征码上的问
题，我们可以做一个假设，假如000****1025和000****1027和00***10E8这三处是复合特征码（仅为假设）。开始杀毒软件定位在1025上填充后还是定位在1025上，这个是为什呢，其实只要我们能修改1027或者10E8其中的一处，有时就可以达到免杀的效果。哪么我们现在就来研究怎么定位出后面的特征码。也就是我们可以修改的地方。

方法如下：
1.入口点加1，为什么要入口点加1，其实还是和如何特征和文件特征有关系，一般杀毒软件在确定特征码的时侯还对文件大小等做一个粗略估计（个人感觉），只有基本符合的才定义位病毒或者木马。哪么我们就可以在入口点上做文章了。加1也可以解决分多少块都杀的情形。
2.从400开始定位，这个也就是我们俗称的代码段开始定。没有多少可以讲的，除非是定位在文件头或者PE头，一般如果出现死循环或者定位不到特征码，或者定位的特别难修改，都可以尝试从400也就是代码段开始定位。
3.还有就是分块的个数，有时你分50块全杀或者出现死循环你换成51.52.55.80....等说不定就可以解决问题了。
4.反向定位也许大家都听说过，也尝到了反向的甜头。什么叫反向定位？我感觉是反向填充后重新杀，不知道有没有搞错，这个就不多说了，大家也都可以。
5.还有一种个人感觉效果更好一点，但如果是做dat的免杀，恐怕有时候就不那么好搞了。就是加壳后改壳，然后再定位位，这样免杀的效果会更好一点。

说了这么多废话，其实还有一个更简单的方法，把定位出来的先修改了再继续定位。关于原因我就不多说了，还是复合特征码的特性，现在是特征码，修改完前面的就不一定是特征码了。