|
|
发表于 2009-12-13 21:36:17
|显示全部楼层
1.瑞星喜欢把特征码定位在test上,而定出来的特征码只是整个特征码中的一条汇编指令,这时候可以上下滚动看下特征码附近3个字节以内。看看有没有等价的汇编指令可以替换。如果有,替换,就会达到免杀了。
2.MOV有时候可以替换为CMP MOV EAX,7替换 SUB EAX,7(可以运行)
3.ADD有时候可以替换为ADC
4.免杀瑞星时的小技巧
瑞星喜欢定位在Test上,经典的改法是改成and,经过测试瑞星有一半的特征码都是如此,而且 改了免杀,由于定位太累了,有时候要定位很长时间,所以我有一个大胆的设想,我把程序里的Test都改成and,当然听起来很离谱,不过我还是试验了,不行。后来我根据定位的特征码的特征,经过改造,如下:
搜索二进制 85C074全部替换成21C074
原来是Test eax,eax 二进制是85c0 加上个74 是为了找到Test和JE的组合,缩小了范围。
改后100108EA: 21C0 AND EAX,EAX
100108EC: 74 08 JE SHORT 100108F6
无独有偶,我又发现,瑞星喜欢定位在xor 上,改成or就过
xor eax,eax的二进制是33c0 搜索33c033c0全部替换成33c009c0
即把两个连着的
xor eax,eax
xor eax,eax
改成
xor eax,eax
or eax,eax
经过在C32Asm里面点搜索全部替换,嗖一下,不知道改了几十个,还是几百个,很郁闷的是竟然成功了,而且没有bug,功能完全正常,
这样的话我们就可以预防瑞星把特征码对位在这些位置。大家可以举一反三。
5.免杀步骤。
加花改花,加壳改壳(入口点也可以改)。
6.
pop等价push
7.lea替换sub
8.CMP替换sub
9.··pe头重建···用Aspack压缩··再用ASPack脱壳工具脱壳!入口加1··保证过
10.一.关于免杀的来源
这里还是有点值得我们去学习的地方。 |
|
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡