UC知道木马免杀难-----》免杀爱好者请进
来源:百度知道 编辑:UC知道 时间:2024/09/23 11:21:50
这样的一段代码
004C3DA6 48 DEC EAX
004C3DA7 C8 C74443 ENTER 44C7,43
004C3DAB A1 2AC240C0 MOV EAX,DWORD PTR DS:[C040C22A]
004C3DB0 BF 403FD806 MOV EDI,6D83F40
004C3DB5 BA 3CBCBB38 MOV EDX,38BBBC3C
004C3DBA 37 AAA
004C3DBB B7 B6 MOV BH,0B6
004C3DBD B7 5C MOV BH,5C
004C3DBF 7D 1C JGE SHORT 复件_2.004C3DDD
特征码是在004C3DB9这位置上
也就是
004C3DB5 BA 3CBCBB38 MOV EDX,38BBBC3C
004C3DBA 37 AAA
这里的中间
我用NOP,上下移动,jmp,去改它
能够免杀,但程序却不能运行了,请问这是什么原因呢
应怎样改才好呢
高分奖励
004C3DA6 48 DEC EAX
004C3DA7 C8 C74443 ENTER 44C7,43
004C3DAB A1 2AC240C0 MOV EAX,DWORD PTR DS:[C040C22A]
004C3DB0 BF 403FD806 MOV EDI,6D83F40
004C3DB5 BA 3CBCBB38 MOV EDX,38BBBC3C
004C3DBA 37 AAA
004C3DBB B7 B6 MOV BH,0B6
004C3DBD B7 5C MOV BH,5C
004C3DBF 7D 1C JGE SHORT 复件_2.004C3DDD
特征码是在004C3DB9这位置上
也就是
004C3DB5 BA 3CBCBB38 MOV EDX,38BBBC3C
004C3DBA 37 AAA
这里的中间
我用NOP,上下移动,jmp,去改它
能够免杀,但程序却不能运行了,请问这是什么原因呢
应怎样改才好呢
高分奖励
特征码也就是杀软识别病毒的标志.可以说特征就是对系统危害的模块.
比如PCshare的ZwQuerySystemInformation,
可以说是驱动模块最关键的地方,你把他给NOP了,那么木马还能运行吗?!
定位到的特征,需要在不改变结构,正常运行的前提条件下修改.
比如等效指令替换,转移代码,大小写+标志符替换,寄存器混乱等方法.
哥们你是干嘛的呀
跟上面一句调换看看.