360 QVM确实比较恶心,最近研究发现了,正常的马(即没有异或、反启发之类加密)很容易免杀360,但是只要加入异或代码、反启发代码,360就一直查杀入口点,因为这些代码基本都是写在入口处的嘛。。
所以:想过360,就尽量别用加密。。或则自己写出生僻的加密代码
PS:不加密,其他一堆杀软都很难过。。。。自己也会很难过。。
近期做的几个马发现,QVM启发式应该是基于卡巴反启发的。。为什么,因为通过定位、修改、加密等等手段测试之后(其他主流都已经免杀掉),发现这两款在特征处极其相似,还有就是卡巴和360基本同时免杀,或则同时不免杀。
所以:我喜欢先免杀卡巴,觉得卡巴比360好下手点,毕竟认识卡巴的时间更久点。
PS:不要企图用数字证书过卡巴,再过360哦。。因为卡巴里面有一个选项“不扫描具有数字证书的文件”,但是360可木有哦。。
PS:一直以来很多时候都是根据定位特征码来修改的,但是随着杀软技术的发展,会越来越发现这种免杀开始无力起来。很典型就是输入表免杀,呵呵。咋不懂源码,也没时间去研究那么长的源码,所以只能另辟捷径。