1. 遇到特征码定位在jmp指令上面的 构造替换 push xxxxx ret。
        
        举例: jmp xxxxx
        
...

真是太多了

会不会不久变成黑防鸽子呢？瑞星
[特征] 00000462_00000002
[特征] 00007D60_00000002
[特征] 00007D82_00000002
[特征] 00007FF6_00000002
[特征] 000080DA_00000002
[特征] 0000872E_00000002
[特征] 000092CA_00000002
[特征] 00009399_00000002
...

最近有一个朋友碰到一个“免杀”问题，这位朋友想用修改特征码的方法实现“免杀”，可是他定位到的特征码里有一处是输入表函数，他询问我如何这种情况“免杀”，我觉得这个问题非常具有代表性，所以就来好好的说一下。
...

首先我来说下怎么过360 卡巴 瑞星 金山 。。。
360其实很好过 行为查杀
只要把木马默认的文件名 服务名 （现在应该没人在使用win98了吧 或用注册表启动的木马了吧  如果有那么把注册表里的启动键值改了）修改掉 就OK了
金山流氓查杀也是一样的
接着说
瑞星 和 金山 其实 别看官方吹得很好 其实很垃圾  主动防御如同虚设
这里据个例子
黑洞1.96 吧 因为介绍卡巴的时候用到它 把服务端里面的 黑洞 藏鲸阁 等替换掉 (老陈，不是要砸你招牌 而是被逼的） 再把刚才说的 文件名 服务名 都换成其他的 那主动就过去了
...

很简单的东西

懂delphi的不要笑我

今天做教程定位的黑防鸽子内存特征码特征码 物理地址/物理长度 如下:
[特征] 00012B40_00000002
[特征] 0006D2D8_00000002
[特征] 0009ADF5_00000002
[特征] 000A158A_00000002
[特征] 000A15BE_00000002
[特征] 000A15E0_00000002
[特征] 000A695F_00000002
[特征] 000A6F2B_00000002
...

今天给二进制做VIP教程，做的定位黑防鸽子特征码。

先是给服务端加了华蝴蝶4号花，然后定的。

特征码如下：特征码 物理地址/物理长度 如下:
[特征] 00002514_00000002
[特征] 00006DE6_00000002
[特征] 000317F4_00000002
[特征] 0005FC90_00000002
[特征] 0005FCA8_00000002
[特征] 0005FCB4_00000002
...

cqu001注:NOD32定位出来的特征码比较多,手动修改非常麻烦,如果时间不允许的情况下,可以使用比较生僻的加壳加密软件来处理一下,一般都能过!最常用的就是利用北斗加两次壳即可过NOD32!

NOD32一般把特征码定位在输入表，输出表和节表三个地方，网上流传的过NOD32的方法是修改输入表，将函数名称用0填充然后在空白处加上被填充的函数名，再将IAT里函数对应的thunk值改到指向新的函数名称，这种方法固然改变了输入表，但并不能躲过NOD32的查杀，因为NOD32的查杀机制并不是直接读取特定位置比如函数名称位置的十六进制的值来比对，而是根据IAT表里的thunk值跟进到函数名称位置，然后再比对，应该比较容易理解。可以举个例子：
...

操他妈的，我真是服了。

半夜三点，就他妈的被吵醒了。说是地震了！

我去阳台往下一看，操场上人真他妈多。现在这人还真惜命！

这地震没怎么样，人们倒是很怎么样，给我折腾得都快什么衰弱了。

看来地震大危害真是很大，能打击一个人的神经。

可能是晃了一下就没事了，过了一会人都回来了，走廊特别吵。

妈逼的，还有一个我们专业的傻逼操着大嗓门含：“真是吓悔我了。”

我困得不行，迷迷糊糊的听见这个把我气的。我就想，怎么就没把他给吓死啊？那样世界就多安静啊！