免杀小结（特征码）

前几天看了一套教程。讲师基础太差，以至于讲的乱七八糟的。我看的云里雾里。于是找了本（黑客免杀攻防）挑出几章看了一下。发现原来教程里不讲原理，导致我不知道讲师在做什么。现在在这儿总结下他的小技巧

1）特征码定位

介绍的工具是MyCCL 和MutiCCL 这两款工具都挺老了，改天有空看看是不是自已内部整一个。

2）找到特征码以后呢

先介绍

土办法1（0填充）  ： 在C32中打开，把特征码处用00填充，这个方法纯靠人品。人品不好，只能呵呵了

土办法2（+1-1  ）  ： 在C32中打开，把特征码处的16进制+1,或-1 。这个为什么能过。实在是不晓得。他就这么说了。哥先记下来。

土办法3（大小写）： 在C32中打开，假如特征码处是数据区，并且是字母，可以尝试更改大小写。这个原理大家应该清楚。

土办法4（等价指令替换）

  ： 特征码定位处是一指令，那么通过等价替换指令来修改。比如加减互换

土办法5（上下代码互换）

 ： 特征码定位处是一指令，那么通过上下代码互换，是不是也是可以呢，上下代码没有联系就可以了

土办法6 （nop移位法）

 ： 特征参还是在指令区，但是我们发现，指令下面存在纯0区，那么，我们把原来的地址用nop填充了，把其它指令扔到纯0区去不就可以了？

土办法7 （通用跳转法）

 ： 特征码在指令区，我们可以把当前指令换成跳转到一个0区。在0区运行指定指令后跳回来不就可以了？

土办法8 （OD修改特征集合的办法）

   ：呵呵，其实意思是在OD里修改特征码的意思。

其实这些土办法，就是利用汇编基础知识修改程序的部分执行流向来迷惑杀软。当然现在的杀软技术如果这点小把戏都能骗过，那也太那啥了。

3）下面介绍下通过PE格式的免杀法。

1. PE头移位    找到PE头，并且记录它的大小。把PE头上移到DOS头，修改一下放置PE头大小的地方。OK.

2. 入口点的修改用PEditror  来找到入口点处。修改入口点。（OD也可以吧）

3. 添加版权法用Restorator添加   这个方法虽然呵呵，还是记一下。。。

4. 删除区段名PEditor 可查看区段名这个我认为是要避开杀软专杀的那几个壳的特有区段用的。

5. 修改资源名用Restorator把资源名改成 任意长度相同的字符串。

6. 添加数字签名先用loadPE 找到安全这个区段，这里就是数字签名的区段。然后在C32里面打开两个文件，一个是马，一个是数字签名提供方，把数字签名复制过来，记住马的数字签名的起始位置，拿到loadPE里面添加一个数字签名区段，OK。

4）花指令免杀

总的其实就一句话。堆栈平衡。

1. 加区加花   专门的一个添加区段的工具加个区，在这个区段里面写段花。修改一下程序入口点，记得 VA 和  RVA  的区别。

2. 直接加花   找0区段 ，写花，修改入口点。

      3. 去头加花   霸气的名字啊。其实就是加个区段，然后把函数的前几句nop,跳转到0区段，在该区段添加上函数被去掉的指令，再跳到原来语句的下一句

4. 还有一种方法就是用工具加花，然后在od中移位。然后再修改入口点。