最近我在做免杀的时候 总是出现死循环 于是上网搜了下教程
还不错 所以转载来给大家分享下
最近杀毒软件也不像原来一样简简单单就过了。一些杀毒软件在定位特征码的时候出现了死循环的现象,论坛好多朋友都在问。今天我要说的也就是这个问题。
卡巴,金山在定位的时候出现比较厉害的死循环。其实我们可以很简单的避开死循环。先说一下为什么会出现死循环,其实这只是复合特征码的常识而已,没有什么可以多议论的。我们在配置的时候,更换一下目录,名字,还有安装名称等(尤其是鸽子),这样做有什么好处呢,在定位的时候特征码比较少。修改起来方便而已。死循环其实就是在一处特征码上的问
题,我们可以做一个假设,假如00001025和00001027和000010E8这三处是复合特征码(仅为假设)。开始杀毒软件定位在1025上填充后还是定位在1025上,这个是为什呢,其实只要我们能修改1027或者10E8其中的一处,有时就可以达到免杀的效果。哪么我们现在就来研究怎么定位出后面的特征码。也就是我们可以修改的地方。
方法如下:
1.入口点加1,为什么要入口点加1,其实还是和如何特征和文件特征有关系,一般杀毒软件在确定特征码的时侯还对文件大小等做一个粗略估计(个人感觉),只有基本符合的才定义位病毒或者木马。哪么我们就可以在入口点上做文章了。加1也可以解决分多少块都杀的情形。
2.从400开始定位,这个也就是我们俗称的代码段开始定。没有多少可以讲的,除非是定位在文件头或者PE头,一般如果出现死循环或者定位不到特征码,或者定位的特别难修改,都可以尝试从400也就是代码段开始定位。
3.还有就是分块的个数,有时你分50块全杀或者出现死循环你换成51.52.55.80....等说不定就可以解决问题了。
4.反向定位也许大家都听说过,也尝到了反向的甜头。什么叫反向定位?我感觉是反向填充后重新杀,不知道有没有搞错,这个就不多说了,大家也都可以。
5.还有一种个人感觉效果更好一点,但如果是做dat的免杀,恐怕有时候就不那么好搞了。就是加壳后改壳,然后再定位位,这样免杀的效果会更好一点。
说了这么多废话,其实还有一个更简单的方法,把定位出来的先修改了再继续定位。关于原因我就不多说了,还是复合特征码的特性,现在是特征码,修改完前面的就不一定是特征码了。
希望大家都能做出自己的免杀。