本文深入探讨了针对QVM引擎的多种免杀技术,包括修改入口点、替换资源、加壳、数字签名等手段,旨在揭示不同QVM威胁类型(如QVM06、QVM07、QVM13等)的应对策略。
QVM07免杀方法
HEUR/Malware.QVM06.Gen 一般情况下加数字签名可过
HEUR/Malware.QVM07.Gen 一般情况下换资源
HEUR/Malware.QVM13.Gen 加壳了
HEUR/Malware.QVM19.Gen 杀壳 (lzz221089提供 )
HEUR/Malware.QVM20.Gen 改变了入口点
HEUR/Malware.QVM27.Gen 输入表
HEUR/Malware.QVM18.Gen 加花
HEUR/Malware.QVM05.Gen 加资源,改入口点
HEUR/Malware.QVM15.Gen 2e646c6c替换成00000000
QVM07加资源一般加到2M会报QVM06
再加数字签名,然后再慢慢减资源,这个方法对大部分木马有效果。
QVM06 加数字签名
QVM12杀壳
QVM13杀壳
QVM27杀输入表
QVM19 加aspack
QVM20就加大体积/加aspack压缩
=========================================
QVM 18.19 解决方法 入口点加1 在合并区段OVM 06 07 加数字签名均能过
QVM20 加3.4个资源在加数字签名
云引擎; 入口点变异 或者修改MD5
云引擎; 通用免杀方法加资源版本和图标 再加ASPack ,后门程序 ; 解决方法 加PassQVM1.2 报QVM07 添加手动数字签名 就能过,小红伞源码免杀就杀几个下载函数。
无特征码免杀直接隐藏输入表 添加空区段,特征码免杀就对定位到的主函数进行跨区段移位api函数在本区段找空白移位。记住移位后的新地址在OC转为内存地址 在修改指针 如果不行就减去镜像基址,大多都是RVA地。
定位到DLL文件上直接填充,加壳免杀直接加se或者穿山甲这些就过了。
BD免杀处理; 改资源 换图标 版本 再加个强壳 最后加个签名,
无特征免杀; PE优化 加签名DLL文件 PE头移动 小熊PE修改器,加区段小熊PE修改器 加函数跟主函数添加一样的 微软压缩永久免杀。改壳免杀 等价替换 为实现跳转NOP掉 添加空区段 clcc指令可以nop。或者打乱pE结构 PE结构打乱工具 前提做处理 加资源 打乱pE结构 在加壳
07 入口点加1
20 打乱
18 入口点加1,换资源
报07 +1
加完数字签名报20
打乱报18
删资源
报07 换资源
加签名
免杀过QVM07的五种方法
1,入口点加1
2,换偏门资源
3,伪装免杀痕迹清除器
4,区段加密工具
5,PE头清除器
扫一扫
855
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
