像一般的杀毒软件、查壳软件(PEID)的工作原理就是,通过查看软件中包含的病毒的特征码、壳的特征码。比较来判断的。
一种简单的思路,就是手动(或者工具)找到这些特征码,再在不改变程序的执行效果的情况下,想办法破坏特征码,来达到免查、免杀的目的。
记录一次制作北斗壳的补丁。
cosh加壳后:
9C60E8000000005D83ED078D8D6EFEFFFF8039010F8442020000C601018BC52B8502FEFFFF898502FEFFFF018532FEFFFF8DB576FEFFFF0106
simplegame加壳后:
9C60E8000000005D83C5F98D8DF3FEFFFF8039010F8442020000C601018BC51B587EFEFFFF898587FEFFFF1185B7FEFFFF8DB5FBFEFFFF0106
加壳特征:
9C60E8000000005D83ED078D8D????????8039010F8442020000C601018BC52B85????????8985????????0185????????8DB5????????0106
cosh加北斗壳免杀后:
9C60E8000000005D83C5F98D8D6EFEFFFF8039010F8442020000C601018BC51B8502FEFFFF898502FEFFFF118532FEFFFF8DB576FEFFFF0106
补丁特征:
9C60E8000000005D83C5F98D8D????????8039010F8442020000C601018BC51B85????????8985????????1185????????8DB5????????0106
通过补丁,PEID已经判断不出是北斗加壳。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
