살해 면제 방법

1. 진입점+1 면제법:

1. 도구 사용 편집기

2. 특징: 매우 간단하고 실용적이지만 때로는 카바카에 의해 살해되기도 합니다 PEditor

2. 특징: 조작도 쉽고, 살육효과도 입구점에 1 점을 더하는 것보다 낫다.

3. 작동점: OD 를 사용하여 쉘리스 트로이 목마 프로그램을 로드하고 진입점의 처음 두 문장을 0 영역으로 이동합니다 그런 다음

다시 진입점 아래의 세 번째 문장으로 뛰어내려 계속한다. 마지막으로 피터를 사용하여 진입점을 0 영역의 주소

3 으로 변경합니다. 가화명령어법 면제법:

1. 기본적으로 대량의 바이러스 백신 소프트웨어에 도달하는 면제입니다.

3. 조작 요점: OD 로 껍데기 없는 트로이 목마 프로그램을 열고, 0 구역을 찾아, 우리가 준비한 꽃 지시를 채워

< P > 를 채운 후 다시 입구점으로 뛰어들어 저장한 후, 그런 다음 피디터를 사용하여 입구 점을 0 영역으로 변경하고 꽃 명령의 주소를 입력하십시오.

4. 셸 또는 위장 셸 면제 방법:

1. 도구 사용: 일부 냉문 셸 또는 트로이 목마 컬러 옷과 같은 위장 쉘을 추가하는 도구 카바의 추격

3. 조작 요점: 더 나은 면살 효과를 얻기 위해 여러 개의 껍데기를 사용하거나, 껍데기를 넣은 후 위장 껍데기를 가미한 면살 효과가 더 좋다

5. 껍데기를 어지럽힌 헤더 파일이나 껍데기에 가화면제법:

3. 조작 요점: 먼저 껍데기가 없는 트로이 목마 프로그램을 UPX 로 껍데기를 넣은 다음 비밀행동으로 이

도구의 스크람블 기능을 이용해 UPX 껍데기의 헤더 파일을 어지럽히면 면제된다. OllyDbg

2. 특징: 조작이 복잡하고, 일련의 과정을 수정하며, 각 바이러스 백신 소프트웨어에 대해서만 면제하려면

다양한 바이러스 백신 소프트웨어의 면제를 위해 다양한 바이러스 백신 소프트웨어의 특징을 수정해야 한다 그래서 현재 유행하는 서명 수정 방법에 대해 총절을 한다.

[ 방법 1: 피쳐 코드를 직접 수정하는 16 진수법 ]

1. 수정 방법: 피쳐 코드에 해당하는 16 진수를 숫자 차이 1 또는 거의 16 진수로 변경합니다.

; 수정 후 ..

[ 방법 2: 문자열 크기 표기법 수정 ]

1. 수정 방법 그렇지 않으면 성공하지 못한다 ..

[ 방법 3: 동등한 대체법 ]

1. 수정 방법: 피쳐 코드에 해당하는 어셈블리 명령어를 성공 클래스 유사 명령어로 대체합니다.

2 JNE 를 JMP 등으로 바꾼다. 저처럼 어셈블리를 이해하지 못한다면 8080 어셈블리 매뉴얼을 찾아봐도 됩니다.

[ 방법 4: 명령 순서 교환법 ]

1. 수정 방법: 피쳐 코드가 있는 코드 순서를 교환합니다. 코드 교환 후 프로그램의 정상적인 실행에 영향을 줄 수 없는지 여부

[ 방법 5: 범용 점프법 ]

1. 수정 방법 이런 변경법 ..

목마 면제를 위한 종합수정방법

파일 면제방법: 1. 냉문 셸 2. 가화지침 3. 프로그램 진입점 변경 4. 트로이 목마 파일 특징을 변경하는 5 가지 일반적인 방법

방법 2gt；; 문자열 크기 표기법 수정

방법 3gt；; 등가 대체 방법

방법 4gt；; 명령 순서 교환 방법

방법 5gt；; 범용 점프 방법

셸 입구 수정법

1. 도구 사용: 압축 셸 OD

2. 특징: 조작이 간단하고 살육이 잘 되는 효과

2 변경되지 않은 함수를 기록하는 thunkvalue 예: 00062922

3 수정할 파일을 winhex 등 16 진수로 열고 함수 주소를 찾습니다. 00070000

5 저장

6 과 같은 새 주소로 이동 저장된 파일을 lordpe 로 열고 계산기를 열고 16 진수 00062988-00062922+0000 을 선택합니다

주 저장: 공식-gt; 메모리 주소 =RAV+RAV 기본 주소, RAV 기본 주소는 LORDPE 에서 볼 수 있습니다. 입력 테이블 함수 이름 앞에 두 개의 공백이 있으므로 rav 주소는 2

[ 2, 문자 방법 수정 ]

오늘 DRP 를 찾습니다 (이 때 쓸데없는 말, 지금 카바는 기본적으로 입력표를 죽인다)

[ 특징] 0002516A_00000001 zwunmapviewofsection 그의 특징코드 위치는 함수 뒤의 00

저는 C32 이동 위치를 선택했고, LordPE 는 입력 테이블을 수정했지만, 안 되었습니다. 나중에 OD 포인터 이동을 시도했습니다. 안 됩니다! CALL 이 JMP 를 바꿔도 안 돼요

LordPE 가 함수 이름을 수정할 수 있다는 걸 발견했어요! C32 를 사용하여 ZwUnmapViewOfSection 함수 뒤에 문자 b (원하는 대로 문자 추가 가능)

를 추가합니다. LordPE 읽기 입력 테이블 함수는 ThunkValue 에서 시작하여 이 연속 문자열 뒤의 00 곳까지 이어집니다!

ZwUnmapViewOfSection 함수 뒤에 문자 b 가 추가되었기 때문에 LordPE 는 이제 ZwUnmapViewOfSectionb

함수를 읽습니다 서류를 보관하면, 이때 살육을 면할 수 있다!

이렇게 수정하면 파일 00025175 에 있는 16 진수 코드가 00 이 아니라 62 이므로 카바는 지나갔고, lardPE 를 사용하여 함수를 수정한 후 파일의 입력 테이블 함수는 여전히 ZwUnmapViewOfSection 이므로 서버를 생성할 수 있습니다

면제 경험:

1. 가구, 가화 후 다시 암호화하면 카바바-암호화 도구 vmprotect

vmprotect 암호화---가화--카바:

3. 더블 레이어 명령어 면제법 추가-

6.maskpe 암호화 ---asppack 셸--진입 점 변경+1-카바

7. 암호화 maskpe---- 마우스를 50 회 이상 올려서 꺼냈는데, 덧씌우고 전송할 수 있는 빈 코드가 있습니다.

10. 머리 빼는 입구-가화--암호화 (vmprotect) ---- 가구, 가화 후 서성 표면에 의해 살해됐다. 이렇게 할 수 있다. 먼저 서성 표면을 가압한 다음 면살화 지령을 가미하고 카바.

13. 서성 표면을 지나는 조사방법: 1. 북두메모리를 가살육하여 압축쉘 2. 서성 표면을 가한 전용 암호화 도구

소스 코드는 면제되며 건물 주인이 C 언어, E 언어 등과 같은 프로그래밍 언어를 사용할 것을 요구합니다. 소스 코드 문을 수정하여 IDA 에서 디버깅을 로드할 수 있습니다.