新世纪网安动画投稿方式:
投稿方法一:
FTP://www.520hack.com
账号:520hack 密码:520hack
投稿方法二:
邮箱: www520hack@126.com
投稿收录奖励情况详见:http://bbs.520hack.com/read.php?tid=81824
制作原创教程,可免费得论坛邀请码.
举报教程错误,病毒捆马,欺骗性,骗钱,卖软件类(本站将无条件删除)
举报地址:http://bbs.520hack.com/thread.php?fid=105
--------------------------------------------------------------
今天给大家带来的是高级免杀:异或算法加密特征码来达到相对稳定的免杀的效果,
好了我们来看一下下在的代码:
pushad ///把所有寄存器压入堆栈
mov ebx,xxxxxxxx ///特征码的内存地址传送到ebx寄存器中
mov ecx, 2 ///循环次数
mov eax,dword ptr [ebx] ///把ebx所存放的内存地方传送给eax
xor eax,11111111 ///进行加密 这里我要讲一下XOR算法
mov dword ptr [ebx],eax ///把加密后的内容传送给ebx
add ebx,4 ///ebx的内存地址增加4个字节
loopd short xxxxxxxx ///跳转到 mov eax,dword ptr [ebx] 这个就是循环,刚才上面有个循环次数,2就表示这里循环2次
popad ///把所有寄存器取出堆栈
jmp 原入口点 ///跳转到原入口点
大家仔细看一下代码,好了下面我们实际操作给大家看
我们就拿远控pcshare的PcInit.exe文件做测试吧,因为我的pcshare经前已经做了免杀所以我就随便找段代码进行加密
XOR算法, 相同为0,相异为1
举个例子:
xor 11000,11111 进行加密
加密后的结果如下:
00111
很好理解:相同为0,相异为1
那么我们把结果在进行一下加密:xor 00111,11111
结果如下:
11000
又回到了原来的结果
那就是说我们把特征进行加密那就可以过杀软了。
代码比较乱,那是我以前做过加密,和写了一些花指令
00401E36 这个是原入口点先记一下
就加密这些吧00403060 2E 6B 65 79 00 00 00 00 2E 65 78 65 00 00 00 00 .key.....exe....
00403060 2E 6B 65 79 00 00 00 00 2E 65 78 65 00 00 00 .key.....exe.... 是不是又变回来了,这样特征码就被加密了
免杀效果是非常好的,你可以把整个段加密起来,只要都用一点循环次数就行了
|
