2个回答
展开全部
以下是我在网上找的,希望对你有帮助: 经常在论坛上看到很多新手问一些怎么改特征啊?一点进去就会看到,“试过很多方法了,加一,跳转,均不行..."由此想到了写这篇文章,启发下新人!
下面是个人以前刚学免杀时改特征码遇到的问题,也因此走了不少歪路~希望新手能看看这个帖子,能更快的学好免杀!注明:本文为暗组首发!!在其它论坛看到的均为转载...请转载时注明出自暗组论坛!!
2月7日更新~
1、
不是所有的特征都可以加一减一!一般是遇到jnz、jmp那些才会有可能用到!改特征一定要看汇编代码!!
出现错误的原因可能是“跳转 short xx”变成“跳转 xx”显而易见,本来跳近的变成跳远的,容易出错。
这个原因也可能是那个二次跳转的地方有数据运行,到时文件出错。这个是外在原因,不是很常见。
2、
对于改大小写这个方法!!只使用于字符串!!像那样的"h"、"v"并不是所谓的字符串!!注意了!!!!
只有是这样的"SYSTEM\\CurrentControlSet\\Services\\"才是字符串!!
而对于
这样的字符串,这是输入表,不能用改大小写!!所以平时要注意积累经验,多看程序!!
hacket-jd解决办法:
可以把特征码定位在地方移位,然后用pe编辑(LordPE)找到相应的地方并重新保存新的位置。 如果觉得麻烦或者那里输入表的特征码过多,可以用特征码重建或者移位的方法。
重建具体如下:
用ImportREC 1.6重建输入表,然后用载入ca把原来的填充
移位具体如下:
方法很多,我这里举个例子。加壳 脱壳。其实就是使用od脱壳的时候重建罢了。不过网上的人都说移位。
3、
不是所有的特征都能用跳转!!个人认为网上说什么“通用跳转法”是错误的!!
你试试在重定位表上跳转试试?!看你的程序能运行不?!在重定位表上跳,跳转后要修复相关联的重定位表!
还有!网上的教程一般都是加区,然后跳转一次就可以了,其实并不是,有很多特征跳一次是不行的,绝对会出错,所以在改的时候一定要看好上下代码!!我认为用跳转时最好用OD修改!!看以下代码!
如果我的特征码在00402A8F上,假如我把00402A8F的代码nop掉,直接复制到其它地方,我这里随便指一个地址00450000,然后再直接jmp回00402A8F,呵呵~你说程序能正常运行不?!
答案是不能!
看到00402A89没?je short 00402A8F
程序运行到这里有可能会跳去执行原来00402A8F的代码!所以它会去执行nop,那么自然程序就出错了!
所以我们需要把
je short 00402A8F改成je 00450000
由此,我们总结出,在用跳转时一定要注意上下的跳转,可能会有多个跳转会调用到特征!
4、
遇到call指令,不能只会用跳转!!
当你看到call了,第一时间看的是call的地址的代码是什么?有的时候,call进去后就会发现,那里的地址往上一位就是垃圾代码,所以我们可以把call的地址往上移一位!!
例如原来是call 00402B48
可以改成call 00402B47
同样可以达到免杀!
如果特征码定位的数据是call后面的数据。大家可以把那个数据复制,然后把call的指定地方写在00区,在那个00区重新跳到地方。例子:
0040001 call 0040002
改成
0040001 call 0040003(0040003是个空白的地方)
.....
0040003 jmp 0040002
5、
上下互换,不一定成功!
用这个方法要看代码!例如
push ebx
mov ebx,ebp
mov eax,ebx
那么mov ebx,ebp和mov eax,ebx就不能上下换,一换的话,eax的值就变了~!
mov ebx,ebp
mov eax,ebx
就是把ebp传到ebx,再把ebx转到eax。 普通人能理解。就是把ebp转到eax嘛
可以改成
mov eax,ebp
如果特征码的地方定在mov这里。可以把mov改成call试试。
好了,先总结着这么多,希望这些对新人都有些帮助吧!!以后发现有什么新的误区,我会更新的~如果我说得有什么不对的,希望大家也说说哦~
1.28更新
6、
对于一些怎么改也改不了的特征码,我个人观点是尽量避开它!呵呵,并不是定出来什么就要改什么的...
那么怎么避开呢?我的方法是加花再定位,不过注意,这是在遇到真的不会改的特征时用的方法!
为什么要加花而不加壳再定?这是因为加花是加垃圾指令,你加多少也没问题,有时好运的话,可能加一个花就免杀了!
但是加壳就不同了,你加了壳后,定了的特征是不准的,有时改还会出错,所以网上的都说不要加壳定位就是这样!
7、
对于在定位时遇到循环,就是第一次杀有38个被杀,第二次杀有37个,第三次36个...这样的时候...很烦是吧?呵呵~这样的情况经常出现在卡巴和瑞星的定位...
现在就教你们3个方法来避免这个情况...
第一、在Myccl开始位置那里填文件的开始地址,例如0040000...一般都这个
第二、用LoadPE在入口点加一!这个方法是几年前免杀的捷径,有兴趣的还可以查查几年前的文章看看,以前这样处理后就可以过N个杀软了,但是现在就...
第三、基于第一点和第二点的基础,如果第一、二点都不行,就采取加花再定位!
2月12日更新
8、刚才看到有人发这个问题~
那么为什么我们在跳到特征码时要往上拉以及往上拉代码就不同了呢?现在来解释一下吧~!
举个例子:
特征码是''我是菜鸟''中的''菜''字,地址是0041BC20
那么跳到0041BC20,就会看到''菜''这个代码,也就是特征码,那想当然,0041BC21就是''鸟''了
然后往上拉代码,代码就会变成了''我是菜鸟'',因为''我是菜鸟''是一句话,就像一句代码一样,你刚才看到的''菜''只是这句话的一部分,
而我们要修改它,就要把它整句话看清楚,才能修改!所以这就是为什么一些新手在发特征码截图时,很多人都会叫他往上拉,看代码的原因!!~
3月14日更新(感谢sailor)
不要定位出来以后就急忙放到OD里面去看,有时候特征并不是可执行代码,而是程序所需要的数据,看了很多人发了帖子都是OD的图,但是里面的代码根本就不是执行代码。这样得到的建议也不会满意。有时候明明是输入表却发了OD的图,完全没有必要。所以建议大家先弄清楚你所定出来的特征位于PE文件的什么区段再来选择贴图的时候如何放图,问题如何问,如果没有考虑过这个问题,那么可想而知最后得到的结果也不会满意。加一个补充,可以试试手工转,内存地址=文件基址+RVA...
下面是个人以前刚学免杀时改特征码遇到的问题,也因此走了不少歪路~希望新手能看看这个帖子,能更快的学好免杀!注明:本文为暗组首发!!在其它论坛看到的均为转载...请转载时注明出自暗组论坛!!
2月7日更新~
1、
不是所有的特征都可以加一减一!一般是遇到jnz、jmp那些才会有可能用到!改特征一定要看汇编代码!!
出现错误的原因可能是“跳转 short xx”变成“跳转 xx”显而易见,本来跳近的变成跳远的,容易出错。
这个原因也可能是那个二次跳转的地方有数据运行,到时文件出错。这个是外在原因,不是很常见。
2、
对于改大小写这个方法!!只使用于字符串!!像那样的"h"、"v"并不是所谓的字符串!!注意了!!!!
只有是这样的"SYSTEM\\CurrentControlSet\\Services\\"才是字符串!!
而对于
这样的字符串,这是输入表,不能用改大小写!!所以平时要注意积累经验,多看程序!!
hacket-jd解决办法:
可以把特征码定位在地方移位,然后用pe编辑(LordPE)找到相应的地方并重新保存新的位置。 如果觉得麻烦或者那里输入表的特征码过多,可以用特征码重建或者移位的方法。
重建具体如下:
用ImportREC 1.6重建输入表,然后用载入ca把原来的填充
移位具体如下:
方法很多,我这里举个例子。加壳 脱壳。其实就是使用od脱壳的时候重建罢了。不过网上的人都说移位。
3、
不是所有的特征都能用跳转!!个人认为网上说什么“通用跳转法”是错误的!!
你试试在重定位表上跳转试试?!看你的程序能运行不?!在重定位表上跳,跳转后要修复相关联的重定位表!
还有!网上的教程一般都是加区,然后跳转一次就可以了,其实并不是,有很多特征跳一次是不行的,绝对会出错,所以在改的时候一定要看好上下代码!!我认为用跳转时最好用OD修改!!看以下代码!
如果我的特征码在00402A8F上,假如我把00402A8F的代码nop掉,直接复制到其它地方,我这里随便指一个地址00450000,然后再直接jmp回00402A8F,呵呵~你说程序能正常运行不?!
答案是不能!
看到00402A89没?je short 00402A8F
程序运行到这里有可能会跳去执行原来00402A8F的代码!所以它会去执行nop,那么自然程序就出错了!
所以我们需要把
je short 00402A8F改成je 00450000
由此,我们总结出,在用跳转时一定要注意上下的跳转,可能会有多个跳转会调用到特征!
4、
遇到call指令,不能只会用跳转!!
当你看到call了,第一时间看的是call的地址的代码是什么?有的时候,call进去后就会发现,那里的地址往上一位就是垃圾代码,所以我们可以把call的地址往上移一位!!
例如原来是call 00402B48
可以改成call 00402B47
同样可以达到免杀!
如果特征码定位的数据是call后面的数据。大家可以把那个数据复制,然后把call的指定地方写在00区,在那个00区重新跳到地方。例子:
0040001 call 0040002
改成
0040001 call 0040003(0040003是个空白的地方)
.....
0040003 jmp 0040002
5、
上下互换,不一定成功!
用这个方法要看代码!例如
push ebx
mov ebx,ebp
mov eax,ebx
那么mov ebx,ebp和mov eax,ebx就不能上下换,一换的话,eax的值就变了~!
mov ebx,ebp
mov eax,ebx
就是把ebp传到ebx,再把ebx转到eax。 普通人能理解。就是把ebp转到eax嘛
可以改成
mov eax,ebp
如果特征码的地方定在mov这里。可以把mov改成call试试。
好了,先总结着这么多,希望这些对新人都有些帮助吧!!以后发现有什么新的误区,我会更新的~如果我说得有什么不对的,希望大家也说说哦~
1.28更新
6、
对于一些怎么改也改不了的特征码,我个人观点是尽量避开它!呵呵,并不是定出来什么就要改什么的...
那么怎么避开呢?我的方法是加花再定位,不过注意,这是在遇到真的不会改的特征时用的方法!
为什么要加花而不加壳再定?这是因为加花是加垃圾指令,你加多少也没问题,有时好运的话,可能加一个花就免杀了!
但是加壳就不同了,你加了壳后,定了的特征是不准的,有时改还会出错,所以网上的都说不要加壳定位就是这样!
7、
对于在定位时遇到循环,就是第一次杀有38个被杀,第二次杀有37个,第三次36个...这样的时候...很烦是吧?呵呵~这样的情况经常出现在卡巴和瑞星的定位...
现在就教你们3个方法来避免这个情况...
第一、在Myccl开始位置那里填文件的开始地址,例如0040000...一般都这个
第二、用LoadPE在入口点加一!这个方法是几年前免杀的捷径,有兴趣的还可以查查几年前的文章看看,以前这样处理后就可以过N个杀软了,但是现在就...
第三、基于第一点和第二点的基础,如果第一、二点都不行,就采取加花再定位!
2月12日更新
8、刚才看到有人发这个问题~
那么为什么我们在跳到特征码时要往上拉以及往上拉代码就不同了呢?现在来解释一下吧~!
举个例子:
特征码是''我是菜鸟''中的''菜''字,地址是0041BC20
那么跳到0041BC20,就会看到''菜''这个代码,也就是特征码,那想当然,0041BC21就是''鸟''了
然后往上拉代码,代码就会变成了''我是菜鸟'',因为''我是菜鸟''是一句话,就像一句代码一样,你刚才看到的''菜''只是这句话的一部分,
而我们要修改它,就要把它整句话看清楚,才能修改!所以这就是为什么一些新手在发特征码截图时,很多人都会叫他往上拉,看代码的原因!!~
3月14日更新(感谢sailor)
不要定位出来以后就急忙放到OD里面去看,有时候特征并不是可执行代码,而是程序所需要的数据,看了很多人发了帖子都是OD的图,但是里面的代码根本就不是执行代码。这样得到的建议也不会满意。有时候明明是输入表却发了OD的图,完全没有必要。所以建议大家先弄清楚你所定出来的特征位于PE文件的什么区段再来选择贴图的时候如何放图,问题如何问,如果没有考虑过这个问题,那么可想而知最后得到的结果也不会满意。加一个补充,可以试试手工转,内存地址=文件基址+RVA...
本回答由网友推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
AiPPT
2024-09-19 广告
随着AI技术的飞速发展,如今市面上涌现了许多实用易操作的AI生成工具1、简介:AiPPT: 这款AI工具智能理解用户输入的主题,提供“AI智能生成”和“导入本地大纲”的选项,生成的PPT内容丰富多样,可自由编辑和添加元素,图表类型包括柱状图...
点击进入详情页
本回答由AiPPT提供
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
