介绍一种新的免杀方法!今天定位一个远控过BitDefender的特征码!!!地址00496034!!!!我们看看具体代码!! 0049602D: 75 F9 JNZ SHORT 00496028 0049602F: 51 PUSH ECX 00496030: 53 PUSH EBX 00496031: 56 PUSH ESI 00496032: 57 PUSH EDI 00496033: 8945 FC MOV [EBP-4],EAX (特征码在这里) 00496036: 33C0 XOR EAX,EAX 00496038: 55 PUSH EBP 00496039: 68 22724900 PUSH 497222 0049603E: 64:FF30 PUSH DWORD PTR FS:[EAX] 按照我们以前的修改方法 无非就是 mov [ebp-4],eax 和xor eax,eax调换位置 或者 push 上面4组指令 再来就是最顶部jnz指令改为相近指令!或者直接来个乾坤大挪移? 对于这处特征码 Bitdefender真的不愧为世界第一杀毒 之前老觉得小红伞BT 没想到这个更BT 定位在代码段也那么厉害 这些方法全用上了 依然无效 而且上面所用的方法 根本不能修改此处 任何一点稍微动一下 程序直接不能运行! 我们仔细看看这段代码。 。 。 顶部的JNZ 我们不去管他 即使能修改 恐怕也达不到免杀目的。 再下来 4条PUSH指令 我们知道PUSH再汇编中是进栈指令, 最理想的方法就是对调PUSH来达到免杀目的, 那是上面说个这个方法无效。 所以即使你把PUSH换成POP 同样不行!接下来我们看看这句, MOV [EBP-4],EAX 这里不难理解 MOV 在汇编中是传送指令 上面这句我们理解为 把EBP-4的值 赋予EAX , 下来一句 XOR EAX,EAX 异或运算 这句话的意思就是 把EAX的值归0 这里不是有矛盾吗? 上下两句的意思就是赋予EAX 为0 这里我就想到了一个新的免杀技巧 我们NOP掉 MOV [EBP-4],EAX XOR EAX,EAX 这两句 重新写上mov eax,0 保存后 程序运行正常 , 免杀成功!!!!!这里只是给大家一个思路 我不能保证这样的修改方法 是否完全不影响程序 但是大家在免杀的时候 如果遇到同样的难题的时候 不妨多一种方法而已!!!
……