0x00 前言
前几天写的一个程序被火绒误报毒了不开森(╬ ̄皿 ̄),不过劳动人民的智慧是无穷的(๑>︶<)و,通过修改软件特征码就可以绕过杀毒软件的检测。
使用工具:myccl(将文件分块找查具体报毒的特征码所在的位置),c32asm(修改文件特征码,用其他的16进制/汇编修改工具也可以)
0x01 查找具体特征码
1.打开myccl加载报毒文件,先将文件分块20份
2.点击“生成”,找到分块的目录使用杀毒软件查杀文件
3.将报毒的文件删除,回到myccl点击“二次处理”
4.循环“查杀病毒”>“二次处理”,一直到没报毒为止,这样做是为了缩小特征码范围
5.随后会定位到特征码范围
但是特征码物理长度太大,所以还要进一步定位
6.点击“特征区间”,选中右键“复合定位此处特征”,随后可以看到被重新分块且长度为2
7.点击“生成”,随后重复第4步,最后找到长度为2的特征码
其中物理地址就是我们要找的特征码
0x02 修改特征码
打开c32asm,以16进制打开文件
1.右键“跳到”,输入刚刚定位的物理地址
2.右键“对应汇编模式编辑”
3.我这16进制对应的汇编指令是“ADD”(根据自己实际情况而定),将它替换对应的“等价汇编指令”(上百度google一下),“ADD”对应的是“ADC”
4.右键“汇编”,输入相应的“等价汇编指令”
5.点击“汇编”,“退出”
6.保存文件即可
0x03 END
用杀毒软件扫描没有报毒就修改成功