上兴免杀

时间：4月14号下午4：00

目的： 熟悉部分杀毒软件的特征码   特征码修改从文件到内存的修改    进一步巩固OD的使用方法

准备工具：上兴远程控制VIP2007（黑刀版） MYCCL    OD    OC  杀毒软件最新版我已经升级到最新版，包括（卡巴，瑞星
           金山， 江民，NOD32）  工具大家可以到网上搜索一下，

名词解释：

OC：文件偏移量换算器，用来计算出特征码在OD中的地址的

在做上兴免杀时，我发现过不了金山，但能过卡巴，瑞星，和江民，NOD32，这部分我将讲述一下如何突破这个问题的，希望借此抛砖引玉，希望大家总结出自己的方法。好，下边我们开始：

第一部分：

特征码修改包括文件特征码修改和内存特征码修改，因为这二种特征码的修改方法是通用的。
基本概念：

特征码修改包括文件特征码修改和内存特征码修改，因为这二种特征码的修改方法是通用的。

方法一:直接修改特征码的十六进制法
1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.

2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下能否正常使用.

方法二:修改字符串大小写法
1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.

2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.

方法三:等价替换法
1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.
2.适用范围:特征码中必需有可以替换的汇编指令.比如JN,JNE 换成JMP等.

我们观察一下   最后我感觉方法4比较适用

方法四:指令顺序调换法
1.修改方法:把具有特征码的代码顺序互换一下.
2.适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行

方法五:通用跳转法
1.修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.
2.适用范围:没有什么条件,是通用的改法