免杀QVM心得

HEUR/Malware.QVM06.Gen   一般情况下加数字签名可过

HEUR/Malware.QVM07.Gen   一般情况下换资源
HEUR/Malware.QVM13.Gen   加壳了
HEUR/Malware.QVM19.Gen   杀壳 （lzz221089提供 ）
HEUR/Malware.QVM20.Gen   改变了入口点
HEUR/Malware.QVM27.Gen   输入表
HEUR/Malware.QVM18.Gen  加花
HEUR/Malware.QVM05.Gen  加资源，改入口点
HEUR/Malware.QVM15.Gen 2e646c6c替换成00000000

QVM07加资源一般加到2M会报QVM06
再加数字签名，然后再慢慢减资源，这个方法对大部分木马有效果。
QVM06 加数字签名
QVM12杀壳
QVM13杀壳
QVM27杀输入表
QVM19 加aspack
QVM20就加大体积/加aspack压缩 

=========================================

QVM 18.19 解决方法 入口点加1 在合并区段

OVM 06 07 加数字签名均能过


QVM20 加3.4个资源在加数字签名






云引擎； 入口点变异 或者修改MD5


云引擎； 通用免杀方法加资源版本和图标 再加ASPack 




后门程序 ； 解决方法 加PassQVM1.2 报QVM07 添加手动数字签名 就能过






小红伞源码免杀就杀几个下载函数


无特征码免杀直接隐藏输入表  添加空区段


特征码免杀就对定位到的主函数进行跨区段移位api函数在本区段找空白移位


记住移位后的新地址在OC转为内存地址 在修改指针 如果不行就减去镜像基址


大多都是RVA地址


定位到DLL文件上直接填充 
 
加壳免杀直接加se或者穿山甲这些就过了




BD免杀处理； 改资源 换图标 版本 再加个强壳 最后加个签名 




无特征免杀； PE优化 加签名DLL文件  PE头移动 小熊PE修改器


加区段小熊PE修改器 加函数跟主函数添加一样的 微软压缩永久免杀


改壳免杀 等价替换 为实现跳转NOP掉 添加空区段 clcc指令可以nop

或者打乱pE结构  PE结构打乱工具  前提做处理 加资源 打乱pE结构  在加壳

07 入口点加1

20 打乱

18 入口点加1，换资源

报07 +1

加完数字签名报20

打乱报18

删资源

报07 换资源

加签名

过QVM07的五种方法

1，入口点加1

2，换偏门资源

3，伪装免杀痕迹清除器

4，区段加密工具

5，PE头清除器