“黑客”深度学习之“免杀技术原理与实现”

我们再一再适才的步调: "天生->查杀删除->二次处理赏罚->查杀删除->二次处理赏罚……"，就能获得更小范畴的特性码。一样平常四次以内的一再操纵，就能获得2字节范畴的特性码，我们就能举办特性码的修改。

一番一再定位之后，我们最终获得了特性码的区间，通过再次点击"二次处理赏罚"，可以天生一个定位图：

特性码 物理地点/物理长度 如下：

[特性] 0004A982_00000002  
特性码漫衍表示图:  
[--------------------------------------------------]  
[--------------------------------------------------]  
[--------------------------------------------------]  
[--------------------------------------------------]  
[--------------------------------M-----------------] 

这时辰，我们就可以查察一下特性码详细长什么样。我们行使的是C32Asm这一款器材，在百度一查就有安详的下载地点。通过这款器材，我们可以很轻松地查察、修改文件内容，，它有"静态反汇编"的成果，以是修改起特性码很利便。

第八步：我们打开C32Asm，将病毒样本(不是分块文件)拖入个中：

第九步： 我们点击"十六进制模式"，这个模式较量机动，以是保举行使。一打开，望见一堆十六进制码，别慌，让我们先跳到特性码的位置!右键点击->跳到:

第十步：将适才定位出的特性码的位置，填写下去，点击"确定"：

看到这一段，认识病毒特性的伴侣应该能看出来，这就是病毒本体的一部门，这几个函数就是病毒会用到的函数。

"E9 7A"被定位为特性码，着实认识的伴侣应该已经知道怎么改了，由于"E9"就是典范的jmp跳转的呆板码。

第十一步：我们右键->对应汇编模式编辑，看看它对应的汇编代码：

可以很清晰地看到，这句代码的意思就是要跳转到某地点上。在这里先讲一个要领——等价更换法，顾名思义就是器具有沟通成果的代码替代它。jmp的话，按履历一样平常可以改成call，也就是将"E9"改为"E8"。

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!