不多见的免杀技巧
介绍一种新的免杀方法!今天定位一个远控过BitDefender的特征码!!!地址00496034!!!!我们看看具体代码!!0049602D: 75 F9 JNZ SHORT 00496028
0049602F: 51 PUSH ECX
00496030: 53 PUSH EBX
00496031: 56 PUSH ESI
00496032: 57 PUSH EDI
00496033: 8945 FC MOV ,EAX (特征码在这里)
00496036: 33C0 XOR EAX,EAX
00496038: 55 PUSH EBP
00496039: 68 22724900 PUSH 497222
0049603E: 64:FF30 PUSH DWORD PTR FS:
按照我们以前的修改方法 无非就是 mov ,eax 和xor eax,eax调换位置 或者 push 上面4组指令 再来就是最顶部jnz指令改为相近指令!或者直接来个乾坤大挪移? 对于这处特征码 Bitdefender真的不愧为世界第一杀毒 之前老觉得小红伞BT 没想到这个更BT 定位在代码段也那么厉害 这些方法全用上了 依然无效 而且上面所用的方法 根本不能修改此处 任何一点稍微动一下 程序直接不能运行!
我们仔细看看这段代码。。。顶部的JNZ 我们不去管他 即使能修改 恐怕也达不到免杀目的。再下来 4条PUSH指令 我们知道PUSH再汇编中是进栈指令,最理想的方法就是对调PUSH来达到免杀目的,那是上面说个这个方法无效。所以即使你把PUSH换成POP 同样不行!接下来我们看看这句,MOV ,EAX 这里不难理解 MOV 在汇编中是传送指令 上面这句我们理解为 把EBP-4的值 赋予EAX
,下来一句 XOR EAX,EAX 异或运算 这句话的意思就是 把EAX的值归0
这里不是有矛盾吗? 上下两句的意思就是赋予EAX 为0 这里我就想到了一个新的免杀技巧 我们NOP掉 MOV ,EAX XOR EAX,EAX 这两句 重新写上mov eax,0 保存后 程序运行正常 ,免杀成功!!!!!这里只是给大家一个思路 我不能保证这样的修改方法 是否完全不影响程序 但是大家在免杀的时候 如果遇到同样的难题的时候 不妨多一种方法而已!!! http://hiphotos.baidu.com/zkzrh826/pic/item/118a5411671fe02c203f2e1d.jpg
视频交友,美女帅哥随你选。
http://5647.12345611.com
全部免费 学习中,顶下~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 说得挺好,的确不错。
http://www.souneiyi.com/phot/souneiyi.gif
哥不上淘宝网内衣皇冠店只上淘宝网最好的内衣店中的淘宝网内衣店推荐 BS发广告的!支持楼主,谢谢 楼主表述之事与本人无关,只是本着“看贴回贴,繁荣网络、利人利己”的原则,为“保增长、扩内需、调结构,促民生”作出贡献,顺便赚点分。 多谢楼主,只不过我的汇编技术确实有限,有点没明白您的意思
页:
[1]