木马免杀难-----》免杀爱好者请进

显示全部楼层 · 2008-10-21 13:36:58

这样的一段代码
004C3DA6
48
DEC EAX
004C3DA7
C8 C74443
ENTER 44C7,43
004C3DAB
A1 2AC240C0
MOV EAX,DWORD PTR DS:[C040C22A]
004C3DB0
BF 403FD806
MOV EDI,6D83F40
004C3DB5
BA 3CBCBB38
MOV EDX,38BBBC3C
004C3DBA
37
AAA
004C3DBB
B7 B6
MOV BH,0B6
004C3DBD
B7 5C
MOV BH,5C
004C3DBF
7D 1C
JGE SHORT 复件_2.004C3DDD
特征码是在004C3DB9这位置上
也就是
004C3DB5
BA 3CBCBB38
MOV EDX,38BBBC3C
004C3DBA
37
AAA
这里的中间
我用NOP，上下移动，jmp,去改它
能够免杀，但程序却不能运行了，请问这是什么原因呢
应怎样改才好呢
高分奖励

千问 · 2008-10-21 13:36:58

特征码也就是杀软识别病毒的标志.可以说特征就是对系统危害的模块. 比如PCshare的ZwQuerySystemInformation, 可以说是驱动模块最关键的地方,你把他给NOP了,那么木马还能运行吗?! 定位到的特征,需要在不改变结构,正常运行的前提条件下修改. 比如等效指令替换,转移代码,大小写+标志符替换,寄存器混乱等方法....

千问 · 2008-10-21 13:36:58

跟上面一句调换看看....

千问 · 2008-10-21 13:36:58

哥们你是干嘛的呀...