免杀的一些知识
首先生成服务器.
加花,随便加一种.(如果不加花,都被杀,二次处理后也有被杀的,到特征区间定位生成的文件都会被杀,无数次二次处理都会杀完)
定位的基本原则:
1.对于体积比较大的木马50K--400K之间,分块个数可少些,第一次一般10块,定位出大致位置后,然后分块
个数可设为50多100为最佳.分块个数少,反复操作的次数就越多.
2.体积小的木马50K以下.分块个数可大一些,100或200,生成速度快,反复操作次数小,定位特征码所花时间也越少.
用到的工具 myccl符合特征码定位器,花指令伪装器
修改特征码的方法不外乎以下几种
1.直接修改特征码的十六进制法 加1 可以免杀
2.修改字符串大小写法 这个简单 用得也多 只要把字母大小写换下就免杀了
3.指令顺序调换法 这个要求换了之后不影响程序。。
4.等价替换法 JMP = JE JNE 这样利用的
5.通用跳转法
