特征碼免殺

特征碼又稱電腦病毒特征碼，它主要由反病毒公司制作，一般都是被反病毒軟件公司確定為只有該病毒才可能會有的一串二進制字符串，而這字符串通常是文件里對應程式碼或匯編指令的地址。殺毒軟件會將這一串二進制字符串用某種方法與目標文件或處理程序作對比，從而判定該文件或進程是否感染病毒。

原理

殺毒軟件通過提取文件的特征碼在病毒庫中匹配的方法掃描病毒，那么只要能夠修改病毒的特征碼，使其與病毒庫存儲的特征碼不匹配，就能夠實現病毒的免殺。

測試工具:
c32asm
MyCCL復合特征碼定位系統
CcRemote遠控
最新版360

過程

打開遠控工具，生成一個木馬

它默認的監聽端口是8088

360查殺木馬，報毒

定位特征碼

打開MyCCL，選擇木馬打開

流程

流程:
1.修改分塊數量并且生成
2.用殺軟查殺目錄并且刪除報毒的分塊
3.點擊二次處理，并繼續用殺軟查殺目錄
4.定位特征

1、先修改分塊數量為20(也可以根據自身情況分成其它的數量)，點擊生成后，會在OUTPUT目錄下生成20個文件分塊

2、使用360查殺OUTPUT目錄，這里查殺出四個

3、點擊一鍵處理將被查殺出來的具有惡意特征的文件刪除，同時再次點擊二次處理，生成新的20塊文件

4、最后一直重復上述操作，直到360不再報毒

進入Mcyyl，點擊特征區間，右鍵選擇復合定位此處特征

再次從頭重復的執行上面的操作，直到將單位長度縮小到2-4之間。下劃線后面一段的，便表示單位長度，此處定位到兩處特征碼，分別是：

00384B03

003849B9

修改特征碼

用c32asm打開木馬文件，打開方式選擇16進制此時

然后右鍵選擇跳轉，地址就填寫特征碼的地址

定位到此處

修改一下65的值

右鍵選擇修改數值，+1

跳轉到第二個特征碼地址

全是0，切換到匯編模式，右鍵選擇 對應匯編模式編輯

修改一下ADD匯編指令，選擇一個等價指令來替換。

右鍵點擊匯編，這里選擇用ADC來代替ADD

點擊匯編后，退出并保存。使用360查殺該exe文件，無報毒。

測試可以正常上線 免殺成功