不多見的免殺技巧

介紹一種新的免殺方法！今天定位一個遠控過BitDefender的特征碼�。�！地址00496034！�。�！我們看看具體代碼��！ 0049602D: 75 F9 JNZ SHORT 00496028 0049602F: 51 PUSH ECX 00496030: 53 PUSH EBX 00496031: 56 PUSH ESI 00496032: 57 PUSH EDI 00496033: 8945 FC MOV [EBP-4],EAX （特征碼在這里） 00496036: 33C0 XOR EAX,EAX 00496038: 55 PUSH EBP 00496039: 68 22724900 PUSH 497222 0049603E: 64:FF30 PUSH DWORD PTR FS:[EAX] 按照我們以前的修改方法 無非就是 mov [ebp-4],eax 和xor eax,eax調(diào)換位置 或者 push 上面4組指令 再來就是最頂部jnz指令改為相近指令！或者直接來個乾坤大挪移? 對于這處特征碼 Bitdefender真的不愧為世界第一殺毒 之前老覺得小紅傘BT 沒想到這個更BT 定位在代碼段也那么厲害 這些方法全用上了 依然無效 而且上面所用的方法 根本不能修改此處 任何一點稍微動一下 程序直接不能運行！ 我們仔細看看這段代碼。 。 。 頂部的JNZ 我們不去管他 即使能修改 恐怕也達不到免殺目的。 再下來 4條PUSH指令 我們知道PUSH再匯編中是進棧指令， 最理想的方法就是對調(diào)PUSH來達到免殺目的， 那是上面說個這個方法無效。 所以即使你把PUSH換成POP 同樣不行！接下來我們看看這句， MOV [EBP-4],EAX 這里不難理解 MOV 在匯編中是傳送指令 上面這句我們理解為 把EBP-4的值 賦予EAX ， 下來一句 XOR EAX,EAX 異或運算 這句話的意思就是 把EAX的值歸0 這里不是有矛盾嗎？ 上下兩句的意思就是賦予EAX 為0 這里我就想到了一個新的免殺技巧 我們NOP掉 MOV [EBP-4],EAX XOR EAX,EAX 這兩句 重新寫上mov eax,0 保存后 程序運行正常 ， 免殺成功！�。。�！這里只是給大家一個思路 我不能保證這樣的修改方法 是否完全不影響程序 但是大家在免殺的時候 如果遇到同樣的難題的時候 不妨多一種方法而已�。�！