2024年5月7日发(作者:)
[个人心得] 个人详细修改特征码方法分享(有耐心看的进)
(原创)自己码字 非论坛转载 码字很累 希望给大家一点帮助 也希望给我点回帖 谢谢了
------------------------------------------------------------------------------
--------------------------------------------------------------------想了想 还
是不继续发免杀DAT了 因为免杀了也许过几天就被杀了 俗话说:授人与鱼 不如授人与渔。
所以我今天发个详细修改特征码的帖子(我机子卡 做不了教程 抱歉了哈) 希望对大家有
帮助的!
------------------------------------------------------------------------------
-----------
大家都知道杀毒软件依靠特征码来查杀木马。俗话说:哪里有压迫 哪里就有反抗(嘿嘿)
所以免杀的
浪潮冲击着每个玩黑的朋友。
我不大懂编程(在学习中) 不象坛主老熊可以修改远控代码来免杀 (不 呵呵 他如果不
公布的话 估
计永远不杀的)好了 废话不说 我今天主要讲如何修改特征码。
------------------------------------------------------------------------------
-----------
首先:修改特征码需要熟练掌握的全部汇编知识(要有耐心看下去!)
今天先讲讲介绍点常见的指令
cmp a,b 比较a和b大小意思(cmp是英文compare 比较的意思)
mov a,b 把b的值传送给a (mov是英文move 移动的意思)
nop (no operation)意思是什么事都没做(do nothing)常用的修改指令
call 调用子程序
pop 出栈
push 压栈
跳的分几种:je 或jz 若相等则跳
jne或jnz 若不相等则跳
jmp 无条件跳转
jb 若小于则跳
ja 若大于则跳
jg 若大于则跳
jge 若大于等于则跳
jl 若小于则跳
jle 若小于等于则跳
ADD 加法.
ADC 带进位加法.
INC 加 1.
SUB 减法.
SBB 带借位减法.
DEC 减 1.
AND 与运算.
OR 或运算.
XOR 异或运算.
NOT 取反.
TEST 测试.
------------------------------------------------------------------------------
------------
基础的修改特征码方法
(1)载入c32或者winhex
方法一:修改特征码的十六进制
修改方法:把特征码所对应的十六进制改成数字+1或者减1
举例:载入c32或者winhex 输入跳转OFFSET地址 定位到的特征码在80的0闪烁 可
以把0改成1 即81
方法二:大小写
修改方法:特征码所对应的内容是字符串的,大小字互换.
举例:大小写间差20
(2)下面是OD载入的分析
方法三:替换法
修改方法:特征码所对应的汇编指令替换成相同或相似的.
举例:jnz换成JMP.
方法四:顺序调换法
修改方法:特征码对应的指令顺序互换一下.
举例:00851A97 MOV ESI,ECX
00851A98 MOV EDI,0
可以换位00851A97 MOV EDI,0
00851A98 MOV ESI,ECX
方法五:JMP法
修改方法:把特征码移到零区域,然后一个JMP又跳回来执行.
方法六:移位法
修改方法:把定位到函数的特征码复制 然后NOP 找到0区域写入刚NOP代码 然后JMP
回到原来NOP的
下面一个地址 然后lordpe修改相应函数的地址
举例:文件PE头移位
发布评论