汇编免杀相对于源码免杀来说难度太大了,源码免杀的效果可以说非常好
其实来说源码免杀的步骤只有 两步,定位.修改....需要的就是你对你所需要修改的
源码的了解
定位, 从程序的起始位置,一句代码一句代码的注释.(注意,有可能杀的是多处代码,
所以是注释掉第一句后,发现被杀,在注释第二句,并不要把第一句还原) 直到杀软不
杀..那么说明 最后一句被注释的代码是肯定被杀的,然后把注释都去掉,只留下最后
一句的注释.(判断下是否还有特征码) 如果被杀,说明还存在特征,然后只注释,然后
循环上面的步骤(每次循环只需要注释到 上次确定特征码的位置).
我们定位精确到了一句代码是不是就可以改了...? 稍等,这句代码,可能是一个函数
也.他其中可能包含了.更多的代码. 那么我们还要跟到函数或过程中,循环定位.定
位出一句调用API 或者是没有调用的语句(一般都是API,普通语句一般不会被杀的),
定位来说,就是这样,大家可能看着还有点不明白,多看几次,对照着实践几次..慢慢就
了解了/
----------------------------------------------------------------------
再来说修改..这个不好说了...举个小例子吧.
网络上流行,用一堆垃圾代码? 或者一个循环,什么的..当杀软是白痴啊..什么是虚拟
机扫描?
我给大家说的是绝对有效果的,但需要一个过程,你对语言了解的过程//
EXITWINDOWSEX(),这个函数,用于系统关机 重启,注销, 如果仅仅写一个给系统关机
的程序是不被杀的..但是放到一个木马里...里面包函了 很多这样的恶意代码..他就
会杀了,,对于这样的代码我们怎么修改呢//...一种是函数替换,一种是外部调
用... 我已经泄露了个人源码免杀的精要了.... 函数替换,就是找到能与这个函
数执行效果差不多的函数 ,换掉这个.外部调用,当然就是调用外部的.子程序来执行
具体的我不能说了哈,大家自己去研究
那么EXITWINDOWSEX 怎么修改呢 WINDOWS 有一个SHUTDOWN.EXE 大家知道吧.用于
系统关机重启,注销,
这样就OK了 WINEXEC(SHUTDOWN.EXE,SW_HIDE); 隐藏启动这个程序当然看你是重
启注销还是关机了? 然后带上不同的参数,比如关机WINEXEC(SHUTDOWN.EXE -S -T
0,SW_HIDE) -S 是表示重启, -T 立刻重启,0 延时0 系统默认是延时 30秒的
OK 说这么多了,这是一个思路,不要死般硬套,而要灵活运行..
以上经验,全部属个人总结.
近期给大家做一个源码免杀的教程,针对这篇帖子给大家讲解下吧
转载请署名 谢谢
BY:JOSEN
转载来自:http://www.mf520.cn/Show.Asp?ID=293
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)