方法一:直接修改特征码的十六进制法
1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.
2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下能否正常使用.
001e0d60
方法二:修改字符串大小写法
1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.
2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.
004021E0
方法三:等价替换法
1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.
2.适用范围:特征码中必需有可以替换的汇编指令.比如JN,JNE 换成JMP等.
0056B80B /74 11 je short 0056B81E
方法四:指令顺序调换法
1.修改方法:把具有特征码的代码顺序互换一下.
2.适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行
005AB21E . 33C0 xor eax, eax
pop edx
方法五:通用跳转法
1.修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.
2.适用范围:没有什么条件,是通用的改法
方法六:移位法
1.修改方法:把特征码在C32里下移一位然后修改下关联。
2.适用范围:有一定的局限性,修改完以后移动要测试下程序能运行不能。
packageinfo
00059cbc
0045A8BC
BC A8 45 00
00059CBB
方法七:通过vmprotectV1.21加密特征码
1.修改方法:通过VMprotectV1.21来加密我们特征码。
2.适用范围:有一定的局限性,修改完以后移动要测试下程序能运行不能。
瑞星
特征码 物理地址/物理长度 如下:
[特征] 0000548C_00000001 20转换21
[特征] 00006DE7_00000001 MOVSX EAX,WORD PTR [ESP]和MOV [ESP],EAX 互换位置
[特征] 00071D43_00000001 04转换00
[特征] 000735EF_00000001 改大小写
[特征] 0008B425_00000001 MOV EDX,EDI 与PUSH EAX 互换位置
[特征] 000913F5_00000001 互换位置
[特征] 00091C26_00000001 互换位置
[特征] 000933FE_00000001 CALL EAX 改为PUSH 1
[特征] 00099481_00000001 填充0
[特征] 0009A87A_00000001 互换位置
[特征] 000A15CC_00000001 揭鸽子远程控制服务端安装成功!我真的爱你爱的海枯石烂我爱你!
[特征] 0009EC44_00000001 XOR EAX,EAX改为TEST EAX,EAX
[特征] 0009F3F6_00000001 CALL [ECX+1C] 和MOV EAX,EBX 互换位置
[特征] 000A12A8_00000001 TEST AL,AL 改为AND AL,AL C32里改
内存特征码
特征码 物理地址/物理长度 如下:
[特征] 00068BEF_00000001 getservbyport GETSERVBYPORT
[特征] 0009AAC3_00000001 代理命令执行完毕! 恭喜您代理完成了!
[特征] 0009ADF8_00000001 09改06
[特征] 000A6F2B_00000001 修改输入表免杀。。 |
发表于 2008-4-2 00:59
| 