文件免杀之文件特征码修改五大法宝

方法一:修改字符串大小写法

1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.

2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.

　　 方法二:直接修改特征码的十六进制法

1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.

2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下能否正常使用.
　
　　 方法三:指令顺序调换法

1.修改方法:把具有特征码的代码顺序互换一下.

2.适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行。

　　方法四:通用跳转法

1.修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.

2.适用范围:没有什么条件,是通用的改法,强烈建议大家要掌握这种改法.

　　方法五:等价替换法

1.修改方法:把特征码所对应的汇编指令命令中替换成功能类似的指令.

2.适用范围:特征码中必需有可以替换的汇编指令.替换后指令功能要不变比如JN,JNE 换成JMP，这里要对汇编要比较熟悉，读懂指令后可以替换功能相同的指令。也可以去查8080汇编手册[计算机专栏里有]

实站特怔码免杀

第一步：首先用内存定位法来准确定位瑞星内存特征码的具体位置

　 第一阶段：自动参数中，生成文件间隔秒数设为4，最小替换字节数设为100字节。（主要用于大体定位内存特征码）

第二阶段：自动参数中，生成文件间隔秒数设为4.最小替换字节数设为4字节。（主要用于准确定位内存特征码）

第二步：修改特征码

　　　用OD打开文件，找到特怔码所在位置，并且判断适合用那种方法修改，如果对方法不太熟悉，并且特怔码不止一处，那就需要你改一处就保存并且在虚拟机里试验能否正常运行[虚拟机可是做免杀的必备工具，强烈建议你安装，因为你不可能就在自己的机器上运行木马吧？在说也不可能在你机器上同时安装N种杀软，那你机器不慢死，更重要还可以用来试验别人提供的软件有没有木马