投稿
  1. 腾语号首页
  2. 少儿编程教育

关于免杀的问题

腾语号的头像腾语号 少儿编程教育

关于关于免杀的问题的讨论正在各大平台持续发酵 ,我们精心筛选了最新资讯,希望能为您带来实质性的帮助 。

希望对你有帮助。。

1.可以定位,而且特征码变少了 ,但是不能免杀内存 。

2.不会,特征码怎么会变化,只是为了让杀毒软件产生迷惑.如果你加了花,花概念是什么你要搞清楚,重要的是不要破坏堆栈平衡,你也知道的吧.那如果你把入口点+1.那岂不是破坏了堆栈平衡嘛?(就是说你原来的入口点是花指令,现在没有了~)

解释: 花指令

a 原入口 (如果入口点加1的花就变成下面那个a了)

a 新入口

b

b

你再看看

a

b

b

这段花指令你说成不成立?可能会引起程序出错呢~

3.不是

4.你说的是什么,出错嘛?是再OD中找不到内存地址还是转换出错。

如果转换出错的话 ,你可以手工进行转换,一般地用物理地址的后4位加镜像基址.

5.首先你要搞清楚做免杀的一般流程。

1)定位文件特征码后修改

2)定位内存特征码后修改

3)定位主动防御特征码后修改

如果你修改的是文件(表面)特征码,那么你内存可能会被杀毒软件查杀的.

好了,都是自己回答的,不拿分给我我会哭~

有什么不懂的:QQ378865194

原理是这样的:

当call 一个函数的时候,程序跑到函数体去执行 ,执行完了需要回到call 后面的那条指令去执行

现在的问题是 ,函数体执行完了怎么回到call后面的那条指令去继续执行呢?

既然需要回去,就必须要把返回地址保存起来,而返回地址事实上就是保存在栈中的

call function

事实上做的是

push ip(事实上是没有这条指令的)

jmp function

函数体结束的时候需要有ret指令

ret指令做的事情是

pop ip(事实上是没有这条指令的 ,就是这个意思)

这样的话,楼主应该很清楚的知道,返回地址是保存在函数调用者的栈帧顶部的

而函数返回的时候需要用到这个地址(电脑不是智能的 ,在返回的时候会直接从栈顶弹出一个字到这个地址去运行)

因此,在函数体内部如果栈不平衡了函数体返回就会出错

原理上就是这样,只要函数体内 运行前与运行后堆栈不平衡 ,函数就不能正确返回

所以单push是不行的

不过影响堆栈的指令不仅仅只有push和pop两条指令

除了直接操作堆栈的指令pushad pushf这些指令以外

像修改 sp值的指令也会影响堆栈,所以 影响堆栈平衡的指令都是不可以出现的

关于关于免杀的问题的探讨就到这里,您是否还有其他想了解的内容?欢迎在评论区留言告诉我们 ,同时别忘了点击关注哦!

(4)
4 3

猜你喜欢

发表回复

本站作者才能评论

评论列表(3条)

  • 腾语号的头像
    腾语号 2026年04月28日

    我是腾语号的签约作者“腾语号”

  • 腾语号
    腾语号 2026年04月28日

    本文概览:关于关于免杀的问题的讨论正在各大平台持续发酵,我们精心筛选了最新资讯,希望能为您带来实质性的帮助。希望对你有帮助。。1.可以定位,而且特征码变少了,但是不能免杀内存。2.不会...

  • 腾语号
    用户042803 2026年04月28日

    文章不错《关于免杀的问题》内容很有帮助

联系我们:

邮件:腾语号@gmail.com

工作时间:周一至周五,9:30-17:30,节假日休息

关注微信