網馬免殺方法一般兩種辦法,一種是加密(微軟自己的encode或者自己寫加解密函式效果更好),另一種也是找特徵碼(字元或順序)。
有朋友說網馬被喀吧殺,不知道所措,現我以ms06014為例,以傳小技。
原來的**:
quote:
code:
you do it!
[copy to clipboard]
免殺後:
quote:
code:
you do it!
[copy to clipboard]
大家注意觀察,其實我就是將s.open語句移動到fname1= f.buildpath(tmp,fname1)語句之前就實現了免殺,這正是挫敗了喀吧的檔案流特徵碼檢測技術。
當然,在移動語句的時候,有必要注意語句在**裡的功能,不然會出錯的。