个人免杀经验
PE类:EXE. dll
1.脱壳解密
脱壳在木马免杀中由为重要!。。所以希望大家好好学习脱壳
脱壳的好坏直接影响到木马免杀效果(如果不完全脱壳,在<定位内存特征码>可能会使定位中没发现特征码但是运行中又发现木马。)
2.定位特征码
一般从大范围定位后逐渐缩小范围(字节型)
(个数型)一般从生成100个数的大致定位特征码后转入字节型定位。
单一文件特征码定位:CLL MYCLL multiCCL
复合文件特征码定位:MYCLL multiCCL
内存特征码定位: OD(一半一半定位) MYCLL multiCCL [一般都要确定你的文件是否完美完全脱壳后在进行文件特征码定位]
3.特征码修改
简单的等效代码转换如下:(不过有时改后也损坏文件所以看情况)
push 变 pop
je 变 jnz
add 变 sub
add ecx,2 可以改为 sub ecx,-2
加ecx内存器+2 减ecx内存器-2 - -2得=2
上面的等效代码用不了还是乖乖用,JMP跳转法把特征码转移
*******************************************************
网页木马类: JS html htm asp 等
1.拆分变量。
用&连接符号,拆分变量
2.加入垃圾代码。
3.等值代码修改
<html></html>
<htm></htm>
把html全部改htm 效果一样
4.代码添零
5.编码加密
