首先老样子先是定位特征码
这里可以用跳转法。
下面我看下源码
UINT nNewSize = (UINT) ceil(nRequestedSize / 1024.0) * 1024;
就是这句啦!
我们先试试添加NOP。
这里添加一点NOP花指令就免杀了。呵呵。
就OK了很简单吧,刚刚定位出了2个特征,我们可以自己填充一下看看
有些时候填充了一个特征就能达到免杀的话那就不需要2个都改了。
(附件)
(附件)
本帖包含的部分附件只能 访问 社区查看
首先老样子先是定位特征码
这里可以用跳转法。
下面我看下源码
UINT nNewSize = (UINT) ceil(nRequestedSize / 1024.0) * 1024;
就是这句啦!
我们先试试添加NOP。
这里添加一点NOP花指令就免杀了。呵呵。
就OK了很简单吧,刚刚定位出了2个特征,我们可以自己填充一下看看
有些时候填充了一个特征就能达到免杀的话那就不需要2个都改了。
(附件)
(附件)