转:
一。脱壳修改
脱壳的好坏直接影响到木马免杀效果。如果不完全脱壳,在<定位内存特征码>可能会使定位中没发现特征码但是运行中又发现木马。
upx aspack
二.特征码修改
简单的等效代码转换如下:(不过有时改后也损坏文件所以看情况)
push 改 pop push eax pop eax
je变 jnz \\ jmp .nop jbe
add变 sub add eax ,1 sub eax ,-1
call变jmp nop
lea变mov lea eax mov eax
jnb变ja
pushad变popad nop
cmp变sub cmp eax ,ebx eax ebx sub eax ,ebx
test变and test eax ebx
三.通用跳转法
00000零区域
0050200 call XXXX \\aaaa
jmp 0060500 pop eax
push eax
jmp 0050200 \\aaaa
0060500 pop eax
四.顺序调换法
push eax
push ebx
push ebx
push eax
五.nop移位法
nop
push eax
add eax ,1
push eax
add eax ,1
nop
六.等值替换法
add eax ,1 inc eax 或 sub eax ,-1
七 大小写替换法
C:\Program Files\iexplorer.exe
C:\PROGRAM FILES\IEXPLORER.EXE
八.00填充法
服务端安装成功
c32asm
九.输入表函数移位法
针对nod32杀软的高发式查杀方法
MaskPE加密输入表
posted on 2009-03-16 15:55
小叶子 阅读(423)
评论(0) 编辑 收藏 引用 所属分类:
加密and解密