免杀方法总结

特征码, 子程序

免杀方法总结
首先确定特征码所在区段
重点要掌握的是

PE header
Code
.Idata

大多数特征码都在代码段(code段)
DATA段里一般保存的是常量和变量
idata(imports)导入表区段一般也有xports或者两个结合在一起、
如果说特征代码在code 段我们可以用常用方法，跳转法,替换等等,如果不能用看看是不是子程序,也就是说
是不是属于call address或被call的内容.
如果他是在PE header 或者是imports里就不是这种修改方法了
如果特征码定位在PE header处可以使用maskpe（maskpe会增加区段使信息朝后移）、
如果特征码是乱码看不出是什么内容,这种一般采取入口加花或者直接加壳的方法。

如果是配置信息写入的（Offset）要先配置好木马在做免杀,否则加花加壳后会使文件的配置信息出现偏差
造成木马配置后，无法使用的情况
附加数据的免杀，不管是否加壳加花他都可以读取到数据，他的配置信息存放于程序的尾部,每次都是从
文件尾部读取
如果是过主动防御,卡巴你可以找到冷门的