CCL打造杀毒软件免杀的超级黑器
2009-05-25 16:53:19 来源:WEB开发网核心提示: 为什么要改Add和Cmp两句?因为Jmp指令占了5个字节,而Add和Cmp均为3字节指令,CCL打造杀毒软件免杀的超级黑器(6),只能两个一起改了,好,由于这些段的默认属性里没有“可执行”这一项,你把代码移过去执行自然会报错,我们将0x0040180E处改为Jmp
为什么要改Add和Cmp两句?因为Jmp指令占了5个字节,而Add和Cmp均为3字节指令,只能两个一起改了。好,我们将0x0040180E处改为Jmp 00405D20,多出一个字节我们改为Nop。接着在空白处将原来的Add和Cmp两条指令补上,尾部再来个Jmp回去的代码。在Jmp回去时,可以回到Nop,也可以直接跳到Ja处,这里选择跳回Nop。
00405D20 83C0 C1 add eax,-3F
00405D23 83F8 39 cmp eax,39
00405D26 ^ E9 E8BAFFFF jmp WinShell.00401813
修改完毕,我们保存一下先。在OllyDbg窗口中单击右键选择“复制到可执行文件—>全部保存”,然后保存到WinShell.exe中。OK,在菜单中选择“重新运行”,回到0040180E处,确定刚才的修改已经保存了。关闭OllyDbg,找到WinShell.exe,用杀毒软件进行扫描。嘿嘿,卡巴斯基已经认不出它来了!如图5所示,收功!
图5
你也许会问,不管什么杀毒软件都是这样修改吗?答案是:NO。各个杀毒软件对特征码的定义是不一样的,唯一的方法就是分别对每个平台进行检测,再有针对性的修改。修改方法一样:指令顺序调换法和通用跳转法!对了,还有一点:尽量在代码段中找空,但有时候代码段中的空隙实在是不够,就把跳转的代码写在别的段中。由于这些段的默认属性里没有“可执行”这一项,你把代码移过去执行自然会报错,这时用PE修改工具将段属性加上可执行就可以了。
更多精彩
赞助商链接