【免杀】通过修改特征码实现杀毒软件免杀

Rehtt

October 17, 2018

8452 views

No comments

1371 words

杂项

# 0x00 前言

前几天写的一个程序被火绒误报毒了不开森(╬￣皿￣)，不过劳动人民的智慧是无穷的(๑＞︶＜)و，通过修改软件特征码就可以绕过杀毒软件的检测。

使用工具：myccl（将文件分块找查具体报毒的特征码所在的位置），c32asm（修改文件特征码，用其他的16进制/汇编修改工具也可以）

# 0x01 查找具体特征码

1.打开myccl加载报毒文件，先将文件分块20份

![Lily_Screenshot_1539742852.png][1]

2.点击“生成”，找到分块的目录使用杀毒软件查杀文件

![Lily_Screenshot_1539742992.png][2]

3.将报毒的文件删除，回到myccl点击“二次处理”

4.循环“查杀病毒”>“二次处理”，一直到没报毒为止，这样做是为了缩小特征码范围

5.随后会定位到特征码范围

![Lily_Screenshot_1539743989.png][3]

但是特征码物理长度太大，所以还要进一步定位

6.点击“特征区间”，选中右键“复合定位此处特征”，随后可以看到被重新分块且长度为2
![Lily_Screenshot_1539743135.png][4]

7.点击“生成”，随后重复第4步，最后找到长度为2的特征码

![Lily_Screenshot_1539744377.png][5]

其中物理地址就是我们要找的特征码

# 0x02 修改特征码

打开c32asm，以16进制打开文件

1.右键“跳到”，输入刚刚定位的物理地址

![Lily_Screenshot_1539744661.png][6]

2.右键“对应汇编模式编辑”

![Lily_Screenshot_1539744905.png][7]

3.我这16进制对应的汇编指令是“ADD”（根据自己实际情况而定），将它替换对应的“等价汇编指令”（上百度google一下），“ADD”对应的是“ADC”

4.右键“汇编”，输入相应的“等价汇编指令”

![Lily_Screenshot_1539744948.png][8]

5.点击“汇编”，“退出”

6.保存文件即可

# 0x03 END

用杀毒软件扫描没有报毒就修改成功

[1]: /usr/uploads/2019/10/987693145.png
  [2]: /usr/uploads/2019/10/1223163514.png
  [3]: /usr/uploads/2019/10/2889567066.png
  [4]: /usr/uploads/2019/10/1378133200.png
  [5]: /usr/uploads/2019/10/2446903450.png
  [6]: /usr/uploads/2019/10/3872615103.png
  [7]: /usr/uploads/2019/10/2991954711.png
  [8]: /usr/uploads/2019/10/232664323.png

Last modification：October 24, 2019