UC知道免杀问题 高手帮帮忙吧
来源:百度知道 编辑:UC知道 时间:2024/05/27 08:53:42
我用ccl查出特征码,然后用c32asm修改,可是仍然被杀了。注:我再用ccl已经找不出特征码了。。小弟不胜感激快来帮帮我吧,我实在不知为什么。。。。。。
这么说吧,文件名:D:\我的文档\20080128bryckzv632\123.exe
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 000306F2_00000002
[特征] 00030862_00000002
[特征] 0008565E_00000002
我用myccl时,如果带后缀就只扫出前两个,不带后缀才扫出三个。但若只修改前两个照样被杀。因为带后缀会载入内存,而第三个没有对应的内存地址,所以带后缀时只找到两处特征码。因为把三处全改后,文件不能运行了,所以要用ollyice跳转,可是第三处无法用oc找到内存地址。我真的没办法了。。。。
这么说吧,文件名:D:\我的文档\20080128bryckzv632\123.exe
------------------------------------------------
特征码 物理地址/物理长度 如下:
[特征] 000306F2_00000002
[特征] 00030862_00000002
[特征] 0008565E_00000002
我用myccl时,如果带后缀就只扫出前两个,不带后缀才扫出三个。但若只修改前两个照样被杀。因为带后缀会载入内存,而第三个没有对应的内存地址,所以带后缀时只找到两处特征码。因为把三处全改后,文件不能运行了,所以要用ollyice跳转,可是第三处无法用oc找到内存地址。我真的没办法了。。。。
可以说特征码其实是免杀中效果最差的,杀毒软件一般只要打开启发式扫描都能查出来。换个工具实施,比如MyCCL,他要比CCL好。或者用加壳或者加花指令。可用新的比较好,如果找不到,就用ASPack或ASProtect,Hying's-PE-Armor很好。加花指令手动改有效果,用OllyICE试试。
你用的时候要注意被调指令是否具有并列关系!你也可能没完全找到那个特征码!当提示无特征码时候,再二次处理试试!免杀是烦琐!