文件特征码.doc

1、1文件特征码如今软杀的升，他们级的性能越来越大强查，力度杀广和度大都幅度高提启发式杀毒，日的完善，使益免工杀作来越困越。杀难在进步软我小黑也们不落能后其，啊们我必须努力掌最握的免新杀技和巧向动同时，不也一步能天的登忘了们的我基础而传统的特。征码杀，差杀软依然在用。因使要想此我们使木马文件不的被查杀，改修文件特征也码一种是常用的法方今天就以特，征修码改术给大技做家个总结，一献支给持和关暗组心朋的，也友给免杀献初者学和即要将习学杀免的朋，本友人能有限，错误力处之大家请指出我，共同们学进习步一 什么“是特征码”我们字面意从上看思，是具就一有特定点特征或一串字符而的串这符字就是被软杀义一文件定否是病毒

2、的是据依而稍然微业专点就是序运程行时，在存内中完为成特定的作动，有要殊的指特，令一个序在运行程时同，一存地2址内指令是的相同的同一个序中，一段程连的续址地它（的令相同）指，那我截取这么段地址，可就以断判是它不这是个程序为了。防止现出病毒的误杀查，可以取出提多特征段。这也就码是们我所说的复合特码.征A. 特征码要主又分为文件特征码，：内特存征，行为码特征， （主码动特码征，如瑞）星B . 时同又分，为单：特征码一和合复征码特；单一特征码就说是，个程序一中的几代码句被杀软件毒为做别识志标修。掉改处一可就以免杀复合。特征码:个一程序中的句多代码被杀软毒件作为别标识志。一有不修处都改不能杀。免二 修改

3、.特码征免杀技术修改特码技术征是，以杀查软特点得来的杀杀软。会用它的们征特库也就（我们是说病的库毒）我和们文的件某字符作对些，比果如彼吻和，就定义此为们我的件文为木马毒。同时，病们只我修改要了定义它出文件的特码征，样这出现什会么况情，呢不用说就那我是所们说的免杀也就是，修改用征特码术来技到达们文件的免杀我.三 分文件析特征码我们要使一3木马文个件免杀就要改它修特的征，但这些码特征我码如何们得来这。就到了我们说特码分征析，就是也我所们的说特征定位码而定。位工具的有多，很见常也大是家觉得都好用有的CCL（ MYCC Lm utiCCL 等）l. 这不具体就说明，们我点重特征是码修改.四 修 改特征

4、常码用工具ODO(llydb.egex )C 23(3CAsm.2exe )辅助 R：stoearRtsteoatorrex. eL rdoEPexe.EIDP .059.xee 汇 编指查询令（可器很以好的助帮我们在修特改码征过程遇到中不认的识编汇指令时，们可我以它用查来，了解询相功能关（如）图下）五修改特征基码汇编础指令到了里眼看就要这修了做免杀改。大了家别急有句话，的说好：“妇难为无巧米炊之。 ”就也是，我说们在有现好了的工具但是会用你吗？如回果答否是定的那，切还一是等于零工具。的用使这里就我不了，说暗论坛组己搜，自 NE4W 写 O 的使 D 用说明很不错就大，可以家看看。好了我们，归

5、正传。言改修特征需要具备基码的汇编本识知，懂没关不，系只你要学肯记，不需要你对肯汇编了解深太只，记住要常的见指和令它们作的。大用请家意注，步是学这免杀即习改修征特最关键4的一步，码步这习的学坏，决定你好以后改特修码征技术的高低这我给大里列家出我必们须去握掌的些一指，令望希家大来下好背记好1算.术运符算 ADC带进:位加 法DAD 二进制: 数加法D C:减一 EDI V 无:号数除符法I DI:带 V 号数(整符数除)I 法 ULM:符号带数整数)乘(法I CN 加一 :ML:U 无号符书乘 法 NEG:补SB 求:带 B 位借减法SU:二 B 制进减 法XDD:交换 A 相并加2A.CISI

6、-CDB 换转AAA 加:ASCII 调后整AD:除前 ASCAI 调整AAMI:后 AS 乘 II 调整 C5AC:减后 AASIC 调整 I DAA:后加进十调 httP:/ 制整 ASD:后减进十制整调3.位移RC:L 带进位循环移左CR:带 R 位进环循右 移RL:O 环左循移ROR 循环右: 移SA:L 术左算 移SAR 算术 :右移SHL:逻左移辑SH:R 逻辑移右SHL:双精 D 左度 移SRDH 双精: 右移度4.较比BF/SBSR:扫位 描 B/TBCTB/RBB:/位测试MCP:较 比6MCPS:N 比较 串 CMPXHC:比较交 G 换CMPCXH8GB:比较换并 lt?

7、;rbEST:测试位 T.数 5 据传送LS: 装如 D 据段数寄存器LEA:装有入效址地LE :装入 S 附段寄加存器OLDS: 从取串LS: 装 S 入栈段堆存寄器MVO 传 :数送据 MOVS:串传送OVMS:带 X 号符展传送 扩 MVOZ:X 零带展扩送 传TSOS:存入串 XCH:G 交换 XLAT 换码 :6.志操标作CCL 清除位:志标LDC:除清方标志 向7CL:清 I 中除标断志 MCC:进标位志反 求 LAH:F 志标送 AHOPPF 标志:栈出UPSFH: 标志进S 栈 AH:FHA 标志寄存器送STC:位进志置标 1TD:C 方向标置 1 志 STI中:标志置断 1.

8、7 输/入出输I:输入字 N 或节字 INS: 串 N 输入 UT:O 输字节出字或 OTUSN: 穿输出8.逻辑作操NA:逻 D 辑 与OT:N 辑逻非OR:逻辑或OR:异 X 或9.环循OOLP 循环:到直完成8OLPEO 相: 时循环等OLOP:为零 Z 是环循LOOPE:N 相等时循不环LOOPNZP:不零为是环 循 LOOPNPEW:相不等时循 环OLPONW:不 Z 为时零循环10.理处器制控HLT 进: 入停暂状态LO K:C 封锁总 线ONP 无操作 :WAT:置 I 处理于等器状态待11.堆栈操作ETERN 建立:栈帧 堆 LEAV:E 结束栈堆帧PO :字出 P 栈 PPO

9、:F 志出栈标 POAP 所:有通寄存用器栈出UPHS:进栈字UPSAH 所有:用积通器进栈存 PUSHF 标9:志进栈21.操串作CMPS:串比较LOD S 从串: 取 MOV:S 传送串RP:串重复EEREP 相等: 时重RE 复 Z:P 为时零重复 REPNE:相不等重复时RPEZ:不为零时 N 复 重SAS:串扫描 C STD:存入 S串13 转移.条件)I(N 溢 T 出中 断J:高 A 于则移转AJ:高于 E 或于则转移等J B 低:于则转移JBE:低于或等于转则移CJ 进:位 1 则转为移JXC:CX 为零 Z 则转 移 JE10:等则转相 移JG: 大于转移则JGE 大 :或于

10、于则等移 转 JL:于则转移小JL:小 E 于等于或 JNC:进位零则转移 为JE:不相等 N 转则 移NG:不 J 大于则移转JNG:不 E 大或于等则转移于JN:L 小不则转于 移JLE:N 小不或于于则转等移 NJA 不高: 则于移转JBN 不 :低于转则 移NBJE 不 :于低或等于转则移NAE:J 不高或等于于则转 移J 不溢出则转 N 移 JNP:奇偶为 0 则位移 转JNZ:结果为零不则转移JNS 结: 为正果转则移 J溢出若转移则J:P 奇偶为 1 位则转 移 JPE奇:偶为性偶则转11J 移奇偶性 P 为则奇转移JS: 结为负果转则 移JZ:结为果则转零移4.1 移转(无条)

11、 件ALCL 调: 过程 用 INT 中断:RIT:E 断返回中JM:无条件转移 PERT 返回:ERT/NRTE:近返回/F 返远回 1.5 类转换型CWB 字 :节转为换 字CQ:双字转 D 为四换 字WDC 字转: 换双为 字CWD:E 字换转扩为展双的字大家要不怕辛苦，在你要动摇的候，你就想想自己做时出自的免杀己那种就成是多么心开。免杀。需要们我的坚持不和创新，断的它趣在于挑战乐望大希家努力而不放弃六改修件特征文码12于我们开终始修了改，也喜你恭经过无聊和乏味了时期的现，在我是创们奇造迹的候时。特征码了定位来出后之，就我是们改修过的。程只有样这才达到躲能杀软查杀的过的目。修文改特征码的

12、件法方很多有如：。替换法，充填，法大小写转换，通法用转法跳。等今就天大给一一道家来.1. 排 法（序就是们说的上下互换法）我在做免我的过程中，杀下互上换我现很重要发也是很有的办法，但效没有一是个法方是美完的，下互换上不也保能 1 证 00 的成功%，率不过它的用通在 9 率 0好了，%们我体具明一下。说例：如 12 3 4 5 分都别表一汇代指编，令其而中 3 是就杀软定义为被毒病特。我们要做的征就是乱打的它序顺让杀软，无辨别。法改后修：1 3 成 24 5 或 1 4 235 在影不程响运序行前下提找，相应到的换互.我们法实说明例图如定的选 OVM XXXXXX 我 可以们和 PUSH XX

13、XXX 上 互换 或下者 MV XOXX X 和下的 M 面 O XXXV 换，互从达而免杀一般到情况双 MO 下 V 都以可换，如互图 ACLL XXX X 可以和也面下 PSUH XXXXX换互有但候时 CA 的 LL 是能不换乱的这里就，要大需给家汇知编识的解，了自和己的经验了这方法没什个么技术量含需要，是的你来多下练多，做多了习自然握13掌2. 换法替替换就法同是指等令或者使功用能相同的码代间之替换的.就 5-5 像=0 而 1- 也 10 他=们最的结果和功终上都是一能的样，在程序这里种们我可以互相换替不，会影程响序运的行。替法就是换程序灵活的体现性一，种功能，序程以可有 N 种法方

14、达出来。所表以家大须必握掌们常用我汇的指编令，从替而法换将会简单一。下来如我们例说明。我实们修改成 DDAE X,A-3 ADD 是汇 7 中的加编法，负加 37 结果还，减是 7.功能 3 上和果上到和结原来的一。致序程也会不响，杀影软将也不查杀会在我杀中免，有还AND=T 如 STEJe 可换成以 NJ 或 jLz 等 nLE A 也可以换 成 ETTS 或AN D S R 算 A 术右.( 移=SRH) S A L 算左移术.=(SLH) 时候 C 有 AL 也 L 以可成换 OVMJ 或 PM MJ=PB+JJBN A C=ADD+DINC 等不过替换也不是法分百原的来是一还样的修改杀

15、后软也不查杀会这从里们我看了出编指令汇重要性的，以所家大始开是还努力吃要那掉些本的语句，这基以样就会好多点后3.14充法填充法填我想大，家最先学会的。因为是这个不要进行什需修改么或替者换只，要需轻轻点 1 一进 6 制填“输入充00”OK。就不说过来起很单简做起，来不是们我的说那样单。你简填一充段一或句编汇代码时你，了要，它解否是影响序程的常正行运有，的码代者或令是指能不便填随充掉的，填充掉后的果是程序就坏掉所以我们。在填充之前要了解是否是垃它圾代或码是无者代码用之，后们在我充填它填。法充需要我们常累计经的验和经对编指汇令的了解度来程量衡所，以家还大需多练要，等你习道那一悟刻实其一都切是很单简

16、.的.4. 跳法转转跳法是，杀人免须学必会一种的巧技。为因它的通用性好很，杀效免果不错。也好，了我先了解们什么是跳下法转。谓的跳所转就法把有特是征码的代码在有的位原置跳转到上其位他置，而达到免从的杀程过这里用的。重最要汇编指令就的是条件跳转 无 J“MP”.下来绍介跳转下要的领：a.我建议做在转的时跳在 O 候 D 里进面，O 行比较 D 观，直同防时止错出；b. 要 找块一以可入写的区域 0（也就没有是加添代码的白区空域）图如 C152 里 3 面区 0 域现表.下.图 OD 里面是区域 0 表的有现会人问我找的零区，都无法写域。入怎办么问的？好一，般教中程，说找在零区到的域候先试时着存一下

17、（O 保 D 坏境）不能，存保就说我们明不能入写这种说法是，误错。的因我们为文件的被 PE 在载装映射器内存到时候的 PE 装，载会读器相应节表结成取的 VOFSETF , VIZES 属和性，些这值定了我决映射到们存中的内始偏移起，小大有还相应内的区存域属的性，一般们我程序在的连被器接接的连时候会都数据将段置设 DATA 为属性，C 将 DE 代 O 码段设为置可执属性。其行这实属性些无关要紧我，们全完以自己可手进动更行，比改如将所的属性设置有可为可写读执等，行样这在转或者加花跳的时候写可的域区就非常大，也就不用会去区加而使段件文积变大。体里这就大教怎么家启开这些能不入的零写区.域.用的工具

18、：到 LODRPE.XEE首先用 LP，载入 E 们我木马的文件（如 图）1图 然后一击区点段如图 2） （图二右再键点 CO 击 E 区段，选 D 择辑区编段。 。 （如图 ）3 图最后点三，击标右志的边框框小.（如.4）图四图大家不是看是见个有“可写入没”有勾选我，把它们16选上，勾后确定然，保即可存这样。们 C 我 DO 区 E 中段的零域就变区成可写的。了c. 在跳 的转候时我们必须记， ，住转回来跳地的址d. ； 是还句话，那方不法是万能，的跳转不是也010 成功的%切（）忌病毒马木在变异，我的们法方也可以异变，跳转一都在用般 MP J 毒软也会杀晓，所知以我不用 JM 们 P，以用

19、可ALC ，MOL 等也 V 造跳转，构样这是码更加复杂代提高杀，软查杀难度这也是。般基一本的转方法跳还，如有，区跨转跳 3，跳级等一转高级些跳方法转万。变离其不，宗要只们我了解原，理各种好方也就法以而用。1 生生 2，生42 慢慢，扩展下去。的。5.就法近（就也是我说们加一减一）的就近就是把我法们特码征 1 的进 6 代码制修改，它成相的 1 近 6 进制代的码程。 。从而过到免杀达这。情种一般出现况字在串符上，如，木马版本信，息些对一程序行不起到运对作绝的用码代（.如图下图中红色）30 我们的可改以31 成（ 如下）这样图可就达以免到目的。不过还杀有情况17（如下种）M 图 V OLB,4

20、 1 句这汇代编码我，又们是可在1 以上面加一或者 4 减一或者度大点跨改，修之总不在损坏序程运的行前下修提，改多要观察码周代围的他其代，看码看这句代的表码效果。达再是，C 就 AL 地 L 上址加一减一 ?的?免杀 CA?LL 上征时特，都知只要地址变了，杀软也道不就会查杀（这了是只其中一情种况，时有候不成会功如上）选定的图 CLL A01003124 们可我尝以修试改成 CAL 1L0032105 或 ACL 10L032130 也达到免杀目的的.6. 小写转大换法大小转换就是把一些法特字符串，通定它相反过的属转性过来，换而从达到杀免目的的。这种法是方利杀软的用小大感敏 WI 而 N 对大

21、小写 S 敏感这不一性特得出而的种方法.一（如下）比图如我们定的选这部是分杀定软位的特，我们征改修会。点免杀的友一看朋，知道就这是处木一相马文关件放的释路径这其，的中字母就也是我们所说字符的，串只要我进行们小写大转换，法能欺骗了就杀的软眼。睛如下图（）图就上是我在们 C23 用利修改数据大中小翻写修转后的改表现。们也我以手工找一些可母字进大小行写换转，直到免杀为。18止此方法有（相的局对限）性说到着儿我们也基，把本征码特改讲完了修。们我在现结总一。下1. 征特是什么码：就被是软定义一文件是杀否病毒是的依.据. 2 征特修改码工：具 ODC32 助有辅 LP： PEED IRetorsator

22、等.3 修 改特码征前之须，必熟练掌常用握汇指令编.4 修.方改法：A排法序；B. 替换； C.法填法充 ；.跳转 D；法 E 就近,；法.大小写 F 换转法；上述就我们今是的主天内容，希要望来下大多多练习，熟家生能，坚巧持最要啊重，你欢喜它应该就义反顾的去研究无，去挥发极致到，要不易轻说放的弃免，杀道布路满荆，需棘我们坚要的定信念和对自的信心己，有你付只了，一出会有定收获所。的最后，说一下，方是法的死，是活的，免杀人要需是的活的头脑灵敢和举一于三的反头，脑希大望家努力去练自己磨让自己真正强，大来。本贴起自出 SDT 免.交流的杀地方好。19百度搜索“就爱阅读”,专业资料,生活学习,尽在就爱阅读网,您的在线图书馆