• 采用Vmprotect免杀过NDO32

    NOD32是杀在输入表中的,免杀的方法一般采用MyCCL复合特征码定位器反向扫描,这样可以定位在代码区,基本上是一些JMP和CALL之类的命令,可以在OD上直接采用跳转法进行修改。但是我在免杀中经常碰到这样的情况,那就是它的特征码特别多,多的时候达到20~30处,采用跳转法改的难度是可想而知的,而且有时候在OD里修改后保存文件的时候提示无法在内存中定位,那就不能修改了。 我的办法是采用...阅读全文
    作者:逝魂 | 分类:学习天地 | 阅读:15,007 次浏览 | 标签:,
    采用Vmprotect免杀过NDO32已关闭评论
  • 免杀技巧

    1. 遇到特征码定位在jmp指令上面的 构造替换 push xxxxx ret。 举例: jmp xxxxx 构造替换 push xxxxx ret 2. 遇到特征码定位在call指令上的。 举例: call xxxxx 构造替换: push @f jmp xxxxx @@: ;@@的标号表示的是你jmp xxxx指令后面的内存地址。 @f也就是引用@@ 的标号,所以此时@f这里填写的就是jmp xxxxx指令后面的内存地址。。 3. 遇到特征码定位在ret上 举例: ret 构造替换: jmp...阅读全文
    作者:逝魂 | 分类:学习天地 | 阅读:13,554 次浏览 | 标签:
    免杀技巧已关闭评论
  • (原创)不会免杀的菜鸟可以拿去用

    1:第一步加upxshell 3.0 2:第二步加花 2.3北斗(怒剑狂花) 网上都有下的 3:特征码 物理地址/物理长度 如下: [特征] 0004820E_00000002 4C000E 用od载入 方法是上下互换过 瑞星 经上述过程已经过了 卡巴 金山 江民 nod32不过 其他没测试 这个方法是7月4号 本菜鸟现在就用的 不会免杀的菜鸟可以拿去用 上兴 2007共享版的! 希望不要拿着怀疑的眼光去杀毒网测试 阅读全文
    作者:逝魂 | 分类:学习天地 | 阅读:13,743 次浏览 | 标签:
    (原创)不会免杀的菜鸟可以拿去用已关闭评论
  • 免杀改特征码必备的汇编知识

    一.机械码,又称机器码 一.机械码,又称机器码 Ultraedit打开,编辑exe文件时你会看到许许多多的由0、1、2、3、4、5、6、7、8、9、A、B、C、D、E、F组成的数码,这些数码就是机器码。修改程序时必须通过修改机器码来修改exe文件。 二.需要熟练掌握的全部汇编知识 不大容易理解,可先强行背住,混个脸儿熟,以后慢慢的就理解了。 cmp a,b 比较a与b。 mov a,b 把b的值送给a。 ret 返回主程序...阅读全文
    作者:逝魂 | 分类:学习天地 | 阅读:14,233 次浏览 | 标签:, ,
    免杀改特征码必备的汇编知识已关闭评论