免杀QVM心得
来源:互联网 发布:淘宝店铺达摩盘在哪里 编辑:程序博客网 时间:2024/04/30 06:58
HEUR/Malware.QVM06.Gen 一般情况下加数字签名可过
HEUR/Malware.QVM07.Gen 一般情况下换资源
HEUR/Malware.QVM13.Gen 加壳了
HEUR/Malware.QVM19.Gen 杀壳 (lzz221089提供 )
HEUR/Malware.QVM20.Gen 改变了入口点
HEUR/Malware.QVM27.Gen 输入表
HEUR/Malware.QVM18.Gen 加花
HEUR/Malware.QVM05.Gen 加资源,改入口点
HEUR/Malware.QVM15.Gen 2e646c6c替换成00000000
QVM07加资源一般加到2M会报QVM06
再加数字签名,然后再慢慢减资源,这个方法对大部分木马有效果。
QVM06 加数字签名
QVM12杀壳
QVM13杀壳
QVM27杀输入表
QVM19 加aspack
QVM20就加大体积/加aspack压缩
=========================================
QVM 18.19 解决方法 入口点加1 在合并区段
OVM 06 07 加数字签名均能过
QVM20 加3.4个资源在加数字签名
云引擎; 入口点变异 或者修改MD5
云引擎; 通用免杀方法加资源版本和图标 再加ASPack
后门程序 ; 解决方法 加PassQVM1.2 报QVM07 添加手动数字签名 就能过
小红伞源码免杀就杀几个下载函数
无特征码免杀直接隐藏输入表 添加空区段
特征码免杀就对定位到的主函数进行跨区段移位api函数在本区段找空白移位
记住移位后的新地址在OC转为内存地址 在修改指针 如果不行就减去镜像基址
大多都是RVA地址
定位到DLL文件上直接填充
加壳免杀直接加se或者穿山甲这些就过了
BD免杀处理; 改资源 换图标 版本 再加个强壳 最后加个签名
无特征免杀; PE优化 加签名DLL文件 PE头移动 小熊PE修改器
加区段小熊PE修改器 加函数跟主函数添加一样的 微软压缩永久免杀
改壳免杀 等价替换 为实现跳转NOP掉 添加空区段 clcc指令可以nop
或者打乱pE结构 PE结构打乱工具 前提做处理 加资源 打乱pE结构 在加壳
07 入口点加1
20 打乱
18 入口点加1,换资源
报07 +1
加完数字签名报20
打乱报18
删资源
报07 换资源
加签名
过QVM07的五种方法
1,入口点加1
2,换偏门资源
3,伪装免杀痕迹清除器
4,区段加密工具
5,PE头清除器
1 0
- 免杀QVM心得
- 360QVM各种免杀方法
- 易语言免杀360QVM人工智能
- 源码免杀的一些心得
- [转]易语言 360免杀方法心得总结
- QVM人工智能引擎
- 免安装mysql-5.7.17配置心得
- 免杀
- 免杀
- 免杀 APk免杀加密器
- 360 QVM启发式引擎的研究
- 360QVM支持输入向量API一览
- 汇编"免杀"基础知识
- 何谓免杀
- 免杀部分经验
- 免杀教程
- 2009免杀.DLL
- 免杀技术
- usaco-Calf Flac
- 你又虐我了
- [iPhone高级] 基于XMPP的IOS聊天客户端程序(IOS端三)
- rails 实现观察者模型
- 还要选择生下孩子
- 免杀QVM心得
- 移植QT程序Micro2440 中文乱码问题
- 半变性男入监每晚与女犯做爱
- opencv with opengl support
- Ajax 网页和服务器通信
- [iPhone高级] 基于XMPP的IOS聊天客户端程序(XMPP服务器架构)
- cmd创建用户并初始化新用户桌面
- 八小妹揭因桃色事件自杀的女星
- IOS CoreText.framework --- 基本用法