0x00 前言

前几天写的一个程序被火绒误报毒了不开森(╬ ̄皿 ̄),不过劳动人民的智慧是无穷的(๑>︶<)و,通过修改软件特征码就可以绕过杀毒软件的检测。

使用工具:myccl(将文件分块找查具体报毒的特征码所在的位置),c32asm(修改文件特征码,用其他的16进制/汇编修改工具也可以)

0x01 查找具体特征码

1.打开myccl加载报毒文件,先将文件分块20份

Lily_Screenshot_1539742852.png

2.点击“生成”,找到分块的目录使用杀毒软件查杀文件

Lily_Screenshot_1539742992.png

3.将报毒的文件删除,回到myccl点击“二次处理”

4.循环“查杀病毒”>“二次处理”,一直到没报毒为止,这样做是为了缩小特征码范围

5.随后会定位到特征码范围

Lily_Screenshot_1539743989.png

但是特征码物理长度太大,所以还要进一步定位

6.点击“特征区间”,选中右键“复合定位此处特征”,随后可以看到被重新分块且长度为2
Lily_Screenshot_1539743135.png

7.点击“生成”,随后重复第4步,最后找到长度为2的特征码

Lily_Screenshot_1539744377.png

其中物理地址就是我们要找的特征码

0x02 修改特征码

打开c32asm,以16进制打开文件

1.右键“跳到”,输入刚刚定位的物理地址

Lily_Screenshot_1539744661.png

2.右键“对应汇编模式编辑”

Lily_Screenshot_1539744905.png

3.我这16进制对应的汇编指令是“ADD”(根据自己实际情况而定),将它替换对应的“等价汇编指令”(上百度google一下),“ADD”对应的是“ADC”

4.右键“汇编”,输入相应的“等价汇编指令”

Lily_Screenshot_1539744948.png

5.点击“汇编”,“退出”

6.保存文件即可

0x03 END

用杀毒软件扫描没有报毒就修改成功

Last modification:October 24, 2019
© Allow specification reprint
如果觉得我的文章对你有用,请随意赞赏