采用Vmprotect免杀过NDO32 - 朝气
当前位置: 首页 > 学习天地 > 正文

采用Vmprotect免杀过NDO32

NOD32是杀在输入表中的,免杀的方法一般采用MyCCL复合特征码定位器反向扫描,这样可以定位在代码区,基本上是一些JMP和CALL之类的命令,可以在OD上直接采用跳转法进行修改。但是我在免杀中经常碰到这样的情况,那就是它的特征码特别多,多的时候达到20~30处,采用跳转法改的难度是可想而知的,而且有时候在OD里修改后保存文件的时候提示无法在内存中定位,那就不能修改了。
我的办法是采用VMProtect,用它来自动修改特征码。VMProtect1.23之后都是演示版,只能修改一处特征码,我采用VMProtect1.22,它就没这个限制。先定位好NOD32特征码,用OC转换成内存地址,然后用VMProtect打开需要免杀的文件,点右键选择添加地址,输入一处特征码内存地址,程序右侧显示一行特征代码,这里要注意如果显示几行代码,点击特征代码,其它的不选,可以避免生成的程序体积太大。依次添加各个内存地址,好了之后点击右侧的Dump,然后选择工具栏中的编译(或按F9),这样就生成了NOD32免杀的程序。采用这个方法的好处是不用一句一句的修改,体积增加也还可以。
暗组转

转载请注明转自朝气 ,本文链接: http://www.gtsow.com/artices/63.html

该日志由 逝魂 于2008年09月02日发表在学习天地分类下,
您还可以在保留本文地址和作者的前提下转载到您的网站或空间。

报歉!评论已关闭.