[个人心得]个人详细修改特征码方法分享(有耐心看的进)(原创)自己码字非论坛转载码字很累希望给大家一点帮助也希望给我点回帖谢谢了--------------------------------------------------------------------------------------------------------------------------------------------------想了想还是不继续发免杀DAT了因为免杀了也许过几天就被杀了俗话说:授人与鱼不如授人与渔。所以我今天发个详细修改特征码的帖子(我机子卡做不了教程抱歉了哈)希望对大家有帮助的!-----------------------------------------------------------------------------------------大家都知道杀毒软件依靠特征码来查杀木马。俗话说:哪里有压迫哪里就有反抗(嘿嘿)所以免杀的浪潮冲击着每个玩黑的朋友。我不大懂编程(在学习中)不象坛主老熊可以修改远控代码来免杀(不呵呵他如果不公布的话估计永远不杀的)好了废话不说我今天主要讲如何修改特征码。-----------------------------------------------------------------------------------------首先:修改特征码需要熟练掌握的全部汇编知识(要有耐心看下去!)今天先讲讲介绍点常见的指令cmpa,b比较a和b大小意思(cmp是英文compare比较的意思)mova,b把b的值传送给a(mov是英文move移动的意思)nop(nooperation)意思是什么事都没做(donothing)常用的修改指令call调用子程序pop出栈push压栈跳的分几种:je或jz若相等则跳jne或jnz若不相等则跳jmp无条件跳转jb若小于则跳ja若大于则跳jg若大于则跳jge若大于等于则跳jl若小于则跳jle若小于等于则跳ADD加法.ADC带进位加法.INC加1.SUB减法.SBB带借位减法.DEC减1.AND与运算.OR或运算.XOR异或运算.NOT取反.TEST测试.------------------------------------------------------------------------------------------基础的修改特征码方法(1)载入c32或者winhex方法一:修改特征码的十六进制修改方法:把特征码所对应的十六进制改成数字+1或者减1举例:载入c32或者winhex输入跳转OFFSET地址定位到的特征码在80的0闪烁可以把0改成1即81方法二:大小写修改方法:特征码所对应的内容是字符串的,大小字互换.举例:大小写间差20(2)下面是OD载入的分析方法三:替换法修改方法:特征码所对应的汇编指令替换成相同或相似的.举例:jnz换成JMP.方法四:顺序调换法修改方法:特征码对应的指令顺序互换一下.举例:00851A97MOVESI,ECX00851A98MOVEDI,0可以换位00851A97MOVEDI,000851A98MOVESI,ECX方法五:JMP法修改方法:把特征码移到零区域,然后一个JMP又跳回来执行.方法六:移位法修改方法:把定位到函数的特征码复制然后NOP找到0区域写入刚NOP代码然后JMP回到原来NOP的下面一个地址然后lordpe修改相应函数的地址举例:文件PE头移位