随笔 - 110  文章 - 28 评论 - 26 

留言簿(1)

随笔分类(103)

随笔档案(110)

文章分类(25)

文章档案(28)

新闻档案(3)

友情连接

  • 小蜜蜂
  • 马氏膏药网
  • 淋巴结肿大,淋巴结核,淋巴结炎 乳腺增生,小叶增生 颈椎病,腰椎病,腰间盘突出 马氏淋巴消炎贴,马氏增生散结贴,马氏关节肌肉贴
  • 黑客基地
  • 全球最大的黑客门户网站

最新随笔

积分与排名

  • 积分 - 146509
  • 排名 - 44

最新评论

阅读排行榜

评论排行榜

转:
一。脱壳修改

脱壳的好坏直接影响到木马免杀效果。如果不完全脱壳,在<定位内存特征码>可能会使定位中没发现特征码但是运行中又发现木马。
upx  aspack
二.特征码修改

简单的等效代码转换如下:(不过有时改后也损坏文件所以看情况)
push 改 pop     push eax pop eax
je变 jnz  \\ jmp .nop jbe
add变 sub add eax ,1  sub eax ,-1
call变jmp  nop
lea变mov    lea eax  mov eax
jnb变ja
pushad变popad nop
cmp变sub cmp eax ,ebx eax ebx    sub eax ,ebx
test变and test eax ebx

三.通用跳转法

00000零区域
0050200 call XXXX  \\aaaa
jmp 0060500 pop eax

push eax
jmp 0050200 \\aaaa
0060500 pop eax

四.顺序调换法
push eax
push ebx

push ebx
push eax

五.nop移位法

nop
push eax
add eax ,1


push eax
add eax ,1
nop
六.等值替换法   

add eax ,1 inc eax   或 sub eax ,-1

 

七 大小写替换法
C:\Program Files\iexplorer.exe

C:\PROGRAM FILES\IEXPLORER.EXE
八.00填充法

服务端安装成功
 
c32asm
九.输入表函数移位法
针对nod32杀软的高发式查杀方法
MaskPE加密输入表

posted on 2009-03-16 15:55 小叶子 阅读(423) 评论(0)  编辑 收藏 引用 所属分类: 加密and解密
只有注册用户登录后才能发表评论。

笔记和文章,可能抄袭,只为学习,请原谅