展开全部
一般用不到什么汇编的 只要记住一些基本的修改方法就醒了
特征码修改
简单的等效代码转换如下:(不过有时改后也损坏文件所以看情况)
push 改 pop push eax pop eax
je变 jnz \\ jmp .nop jbe
add变 sub add eax ,1 sub eax ,-1
call变jmp nop
lea变mov lea eax mov eax
jnb变ja
pushad变popad nop
cmp变sub cmp eax ,ebx eax ebx sub eax ,ebx
test变and test eax ebx
三.通用跳转法
00000零区域
0050200 call XXXX \\aaaa
jmp 0060500 pop eax
push eax
jmp 0050200 \\aaaa
0060500 pop eax
四.顺序调换法
push eax
push ebx
push ebx
push eax
五.nop移位法
nop
push eax
add eax ,1
push eax
add eax ,1
nop
六.等值替换法
add eax ,1 inc eax 或 sub eax ,-1
七 大小写替换法
C:\Program Files\iexplorer.exe
C:\PROGRAM FILES\IEXPLORER.EXE
八.00填充法
服务端安装成功
c32asm
九.输入表函数移位法
针对nod32杀软的高发式查杀方法
MaskPE加密输入表+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++常见特征码修改作者:蚂蚁很忙 发表时间:2008-11-15 阅读:103 字体:大 中 小 在百度搜索相关内容 1、定位在cmp或test后的判断跳转,je、jz如此之类的...
遇到这样的,我一般都会把它们改成jmp就能过,当然也要看看上下代码的意思,不然可能出错...个人认为这样修改的效果还是不错的..
2、定位在跳转后的地址,如je xxxxxxxx ,jmp xxxxxxxx 之类的xxxxxxxx上...
一般遇到是判断跳转的je,jnz的...按照第一个方法把跳转符改改就能过...如把je改成jmp...遇到是jmp xxxxxxxx的,就试试看下面有没有空
位构造下push xxxxxxxx
ret
或者可以把jmp xxxxxxxx ,用跳转转移到其它地方...
3、定位在call eax之类上...
把它改成push eax或其它...
4、定位在call上的...
先跟进call后面的地址看看,因为有时候那里往上拉一句就可能会有NOP之类的语句,那么我们把call后面的地址向前移一位就可以过...
如果没有NOP,我们可以用跳转转移...
5、定位在OR或者XOR上...
把OR改XOR或者XOR改OR...
6、定位在mov语句上,如MOV DWORD PTR SS:[ESP+14],ESI...
我们可以把它改成mov esp,esi
add esp,14
7、定位在cmp语句,如cmp eax,esp
jnz xxxxxxxx
那么遇到这样的,我们可以把这两句NOP掉,然后加上jmp xxxxxxxx ,这里意思就是我们不要那个比较,把代码直接跳到xxxxxxxx上运行....
遇到test 这样的也可以试试这个方法...
8、定位在字符串上,但是不能用改大小写的方法修改,修改就出错...
例如pcshare有一个定位在“%s%s%s”上的...我们可以首先用C32把“%s%s%s”向前移一位,然后用OD载入,右键,超级字符串参考,
查找ASCII,然后找到所有的“s%s%s”,由于我们向前移了一位,所以显示的应该是“s%s%s”,然后双击来一个个修改...双击后会发现,
对应的语句会有一个地址,我们把它改掉,向前一位,如4AD05168就改成4AD05167,接着同样方法继续改其它有“s%s%s”的...
这个方法通用字符串的修改...
总结:上面的只不过是我在免杀时的一些经验...实际免杀还需要读懂上下代码,实际分析,并不代表按照上面这样改就一定可以...做人要灵活,
方法都是自己悟出来的,没什么完美的通用方法...自己的免杀方法才是最好的~
特征码修改
简单的等效代码转换如下:(不过有时改后也损坏文件所以看情况)
push 改 pop push eax pop eax
je变 jnz \\ jmp .nop jbe
add变 sub add eax ,1 sub eax ,-1
call变jmp nop
lea变mov lea eax mov eax
jnb变ja
pushad变popad nop
cmp变sub cmp eax ,ebx eax ebx sub eax ,ebx
test变and test eax ebx
三.通用跳转法
00000零区域
0050200 call XXXX \\aaaa
jmp 0060500 pop eax
push eax
jmp 0050200 \\aaaa
0060500 pop eax
四.顺序调换法
push eax
push ebx
push ebx
push eax
五.nop移位法
nop
push eax
add eax ,1
push eax
add eax ,1
nop
六.等值替换法
add eax ,1 inc eax 或 sub eax ,-1
七 大小写替换法
C:\Program Files\iexplorer.exe
C:\PROGRAM FILES\IEXPLORER.EXE
八.00填充法
服务端安装成功
c32asm
九.输入表函数移位法
针对nod32杀软的高发式查杀方法
MaskPE加密输入表+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++常见特征码修改作者:蚂蚁很忙 发表时间:2008-11-15 阅读:103 字体:大 中 小 在百度搜索相关内容 1、定位在cmp或test后的判断跳转,je、jz如此之类的...
遇到这样的,我一般都会把它们改成jmp就能过,当然也要看看上下代码的意思,不然可能出错...个人认为这样修改的效果还是不错的..
2、定位在跳转后的地址,如je xxxxxxxx ,jmp xxxxxxxx 之类的xxxxxxxx上...
一般遇到是判断跳转的je,jnz的...按照第一个方法把跳转符改改就能过...如把je改成jmp...遇到是jmp xxxxxxxx的,就试试看下面有没有空
位构造下push xxxxxxxx
ret
或者可以把jmp xxxxxxxx ,用跳转转移到其它地方...
3、定位在call eax之类上...
把它改成push eax或其它...
4、定位在call上的...
先跟进call后面的地址看看,因为有时候那里往上拉一句就可能会有NOP之类的语句,那么我们把call后面的地址向前移一位就可以过...
如果没有NOP,我们可以用跳转转移...
5、定位在OR或者XOR上...
把OR改XOR或者XOR改OR...
6、定位在mov语句上,如MOV DWORD PTR SS:[ESP+14],ESI...
我们可以把它改成mov esp,esi
add esp,14
7、定位在cmp语句,如cmp eax,esp
jnz xxxxxxxx
那么遇到这样的,我们可以把这两句NOP掉,然后加上jmp xxxxxxxx ,这里意思就是我们不要那个比较,把代码直接跳到xxxxxxxx上运行....
遇到test 这样的也可以试试这个方法...
8、定位在字符串上,但是不能用改大小写的方法修改,修改就出错...
例如pcshare有一个定位在“%s%s%s”上的...我们可以首先用C32把“%s%s%s”向前移一位,然后用OD载入,右键,超级字符串参考,
查找ASCII,然后找到所有的“s%s%s”,由于我们向前移了一位,所以显示的应该是“s%s%s”,然后双击来一个个修改...双击后会发现,
对应的语句会有一个地址,我们把它改掉,向前一位,如4AD05168就改成4AD05167,接着同样方法继续改其它有“s%s%s”的...
这个方法通用字符串的修改...
总结:上面的只不过是我在免杀时的一些经验...实际免杀还需要读懂上下代码,实际分析,并不代表按照上面这样改就一定可以...做人要灵活,
方法都是自己悟出来的,没什么完美的通用方法...自己的免杀方法才是最好的~
本回答由网友推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
AiPPT
2024-09-19 广告
随着AI技术的飞速发展,如今市面上涌现了许多实用易操作的AI生成工具1、简介:AiPPT: 这款AI工具智能理解用户输入的主题,提供“AI智能生成”和“导入本地大纲”的选项,生成的PPT内容丰富多样,可自由编辑和添加元素,图表类型包括柱状图...
点击进入详情页
本回答由AiPPT提供
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
