转:
一。脱壳修改

脱壳的好坏直接影响到木马免杀效果。如果不完全脱壳，在<定位内存特征码>可能会使定位中没发现特征码但是运行中又发现木马。
upx  aspack
二.特征码修改

简单的等效代码转换如下：（不过有时改后也损坏文件所以看情况）
push 改 pop     push eax pop eax
je变 jnz  \\ jmp .nop jbe
add变 sub add eax ,1  sub eax ,-1
call变jmp  nop
lea变mov    lea eax  mov eax
jnb变ja
pushad变popad nop
cmp变sub cmp eax ,ebx eax ebx    sub eax ,ebx
test变and test eax ebx

三.通用跳转法

00000零区域
0050200 call XXXX  \\aaaa
jmp 0060500 pop eax

push eax
jmp 0050200 \\aaaa
0060500 pop eax

四.顺序调换法
push eax
push ebx

push ebx
push eax

五.nop移位法

nop
push eax
add eax ,1

push eax
add eax ,1
nop
六.等值替换法   

add eax ,1 inc eax   或 sub eax ,-1

七 大小写替换法
C:\Program Files\iexplorer.exe

C:\PROGRAM FILES\IEXPLORER.EXE
八.00填充法

服务端安装成功
 
c32asm
九.输入表函数移位法
针对nod32杀软的高发式查杀方法
MaskPE加密输入表