修改木马特征码的规律 要详细、、

修改特征码不外乎通用条转法，等效替换法，直接填充法，或者重建表
等，方法就主要这几种，很讲究的
要想学会ibuprofen是一朝一夕的事情，建议你多看教程就行了

个人一些特征码修改方法
本文没什么技术含量,主要是给一个免杀的思路哦~

1、定位在cmp或test后的判断跳转，je、jz如此之类的...
遇到这样的，我一般都会把它们改成jmp就能过，当然也要看看上下代码的意思，不然可能出错...个人认为这样修改的效果还是不错的..

2、定位在跳转后的地址，如je xxxxxxxx ，jmp xxxxxxxx 之类的xxxxxxxx上...
一般遇到是判断跳转的je，jnz的...按照第一个方法把跳转符改改就能过...如把je改成jmp...遇到是jmp xxxxxxxx的，就试试看下面有没有空
位构造下push xxxxxxxx
ret
或者可以把jmp xxxxxxxx ，用跳转转移到其它地方...

3、定位在call eax之类上...
把它改成push eax或其它...

4、定位在call上的...
先跟进call后面的地址看看，因为有时候那里往上拉一句就可能会有NOP之类的语句，那么我们把call后面的地址向前移一位就可以过...
如果没有NOP，我们可以用跳转转移...

5、定位在OR或者XOR上...
把OR改XOR或者XOR改OR...

6、定位在mov语句上，如MOV DWORD PTR SS:[ESP+14],ESI...
我们可以把它改成mov esp,esi
add esp,14

7、定位在cmp语句，如cmp eax,esp
jnz xxxxxxxx
那么遇到这样的，我们可以把这两句NOP掉，然后加上jmp xxxxxxxx ，这里意思就是我们不要那个比较