|
| |
1:
004B3920: 64:8910 MOV FS:[EAX],EDX
004B3923: 68 35454B00 PUSH 4B4535 -------------替换处(2)
004B3928: E8 83D3FFFF CALL 004B0CB0
004B392D: C3 RETN
004B392E: E9 E9FDF4FF JMP 0040371C
004B3933: EB F3 JMP SHORT 004B3928
004B3935: 33C0 XOR EAX,EAX
004B3937: 5A POP EDX
004B3938: 59 POP ECX
004B3939: 59 POP ECX
004B393A: 64:8910 MOV FS:[EAX],EDX
004B393D: 68 5D454B00 PUSH 4B455D -------------假设特征码处(1)
004B3942: 8D85 64FDFFFF LEA EAX,SS:[EBP-29C]
004B3948: E8 4F04F5FF CALL 00403D9C
004B394D: 8D45 FC LEA EAX,SS:[EBP-4]
004B3950: E8 4704F5FF CALL 00403D9C
004B3955: C3 RETN
假设特征码处(1),大家看下是不是觉得很难改,改了有些可能出错,跳转一般都不行。我们可以试一下和(2)处交换下。看是不是是能免杀上线。如何可以吧。因为他们都是压入堆栈,我们只是换了个地址而已。
2:
004B3920: 64:8910 MOV FS:[EAX],EDX
004B3923: 68 35454B00 PUSH 4B4535
004B3928: E8 83D3FFFF CALL 004B0CB0 ------假设特征码处(1)
004B392D: C3 RETN
004B392E: E9 E9FDF4FF JMP 0040371C
004B3933: EB F3 JMP SHORT 004B3928
004B3935: 33C0 XOR EAX,EAX
004B3937: 5A POP EDX
004B3938: 59 POP ECX
在看这个特征码处 ,假设跳转不行,无法上线。那么我们和下面或上面的代码交换下位置试一试。看下是否上线了,而且功能全齐吧!
还有些比较厉害的杀毒软件把你ccl或myccl生成出的特征码全都给杀了,是吧。你可以试一试加壳,再查。如果你想做无壳的。怎么办?办法还是有。你去头加区。试一试不用新加的哪个区段去CCL或MYCCL去生成特征码试一试。有些可能不行,比如黑防。
在这只是给大家介绍些经验,希望各位多多研究,多想些办法。不要放弃。肯定是有办法的。只要你肯研究我不相信你就免杀不了。
不说了,今天就到这,这只是说说经验,当然上面的方法是我自己想出来的,我不保证100%成功。只想给大家一个启发。
送大家免杀6字真言:不放弃,多研究! ]]>
