“黑客”深度学习之“免杀技术原理与实现”

我们再重复刚才的步骤: "生成->查杀删除->二次处理->查杀删除->二次处理……"，就能得到更小范围的特征码。一般四次以内的重复操作，就能得到2字节范围的特征码，我们就能进行特征码的修改。

一番重复定位之后，我们最终得到了特征码的区间，通过再次点击"二次处理"，可以生成一个定位图：

特征码 物理地址/物理长度 如下：

[特征] 0004A982_00000002  
特征码分布示意图:  
[--------------------------------------------------]  
[--------------------------------------------------]  
[--------------------------------------------------]  
[--------------------------------------------------]  
[--------------------------------M-----------------] 

这时候，我们就可以查看一下特征码具体长什么样。我们使用的是C32Asm这一款工具，在百度一查就有安全的下载地址。通过这款工具，我们可以很轻松地查看、修改文件内容，，它有"静态反汇编"的功能，所以修改起特征码很方便。

第八步：我们打开C32Asm，将病毒样本(不是分块文件)拖入其中：

第九步： 我们点击"十六进制模式"，这个模式比较灵活，所以推荐使用。一打开，看见一堆十六进制码，别慌，让我们先跳到特征码的位置!右键点击->跳到:

第十步：将刚才定位出的特征码的位置，填写下去，点击"确定"：

看到这一段，熟悉病毒特征的朋友应该能看出来，这就是病毒本体的一部分，这几个函数就是病毒会用到的函数。

"E9 7A"被定位为特征码，其实熟悉的朋友应该已经知道怎么改了，因为"E9"就是典型的jmp跳转的机器码。

第十一步：我们右键->对应汇编模式编辑，看看它对应的汇编代码：

可以很清楚地看到，这句代码的意思就是要跳转到某地址上。在这里先讲一个方法——等价替代法，顾名思义就是用具有相同功能的代码替换它。jmp的话，按经验一般可以改成call，也就是将"E9"改为"E8"。

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!