 减小字体  增大字体
介绍一种新的免杀方法!今天定位一个远控过BitDefender的特征码!!!地址00496034!!!!我们看看具体代码!!
0049602D: 75 F9 JNZ SHORT 00496028
0049602F: 51 PUSH ECX
00496030: 53 PUSH EBX
00496031: 56 PUSH ESI
00496032: 57 PUSH EDI
00496033: 8945 FC MOV [EBP-4],EAX (特征码在这里)
00496036: 33C0 XOR EAX,EAX
00496038: 55 PUSH EBP
00496039: 68 22724900 PUSH 497222
0049603E: 64:FF30 PUSH DWORD PTR FS:[EAX]
按照我们以前的修改方法 无非就是 mov [ebp-4],eax 和xor eax,eax调换位置 或者 push 上面4组指令 再来就是最顶部jnz指令改为相近指令!或者直接来个乾坤大挪移? 对于这处特征码 Bitdefender真的不愧为世界第一杀毒 之前老觉得小红伞BT 没想到这个更BT 定位在代码段也那么厉害 这些方法全用上了 依然无效 而且上面所用的方法 根本不能修改此处 任何一点稍微动一下 程序直接不能运行!
我们仔细看看这段代码。。。顶部的JNZ 我们不去管他 即使能修改 恐怕也达不到免杀目的。再下来 4条PUSH指令 我们知道PUSH再汇编中是进栈指令,最理想的方法就是对调PUSH来达到免杀目的,那是上面说个这个方法无效。所以即使你把PUSH换成POP 同样不行!接下来我们看看这句,MOV [EBP-4],EAX 这里不难理解 MOV 在汇编中是传送指令 上面这句我们理解为 把EBP-4的值 赋予EAX
,下来一句 XOR EAX,EAX 异或运算 这句话的意思就是 把EAX的值归0
这里不是有矛盾吗? 上下两句的意思就是赋予EAX 为0 这里我就想到了一个新的免杀技巧 我们NOP掉 MOV [EBP-4],EAX XOR EAX,EAX 这两句 重新写上mov eax,0 保存后 程序运行正常 ,免杀成功!!!!!这里只是给大家一个思路 我不能保证这样的修改方法 是否完全不影响程序 但是大家在免杀的时候 如果遇到同样的难题的时候 不妨多一种方法而已!!!
|
设为首页
加入收藏
发布作品
栏目导航
