For 雲引擎+QVM引擎
補充下:360殺度的五引擎全部通過了,那麽360衛士的QVM主動防禦也就過了
1.用360殺毒掃描,查看病毒名
(1)如果病毒名為QVM類型,則在多引擎設置中取消雲查殺引擎和常規反病毒引擎
(2)如果病毒名為雲引擎類型(就是前面有壹個雲的圖標),請先嘗試修改文件MD5。
若修改後依舊被查殺,則在多引擎設置中取消QVM引擎和常規反病毒引擎
(3)若不符合以上兩種情況,說明報毒類型為常規反病毒引擎,
如果是這樣,那麽在多引擎設置中取消雲查殺引擎和QVM引擎,按正常定位方式定位即可
(它的常規反病毒引擎分為小紅傘和BD,關於定位這兩個殺毒引擎的方法和這兩個殺毒引擎的特性,百度壹下,馬上知道,在這裏就不說了)
2.嘗試刪除程序的輸入表,再進行查殺
(1)刪除後已經不查殺了,那麽直接繼續第3步
(2)刪除後依舊還殺---修改偽裝文件資源再看是否還殺----不殺-----繼續第3步
(3)刪除後依舊還殺---修改偽裝文件資源再看是否還殺----還殺-----嘗試定位代碼部分,但不定位入口點部分----定位出後修改----不殺,在原來的文件中繼續修改----繼續第3步
3.精確輸入表特征到DLL,逐壹刪除DLL,刪除壹次查殺壹次,直到不再查殺,以找出特征所屬DLL
(1)只刪除掉壹個DLL,就不查殺了------直接繼續第4步
(2)刪除掉多個DLL,才不查殺-----記下所有存在特征的DLL名稱,在第四步的時候逐壹定位,
比如特征存在於1.DLL和2.DLL,那麽第四步的時候
先備份文件,然後刪除1.DLL,然後找出2.DLL中被查殺的API名稱,記錄之後
再復制壹份原來的文件,然後刪除2.DLL,然後找出1.DLL中被查殺的API名稱
這樣就能定位到所有被查殺的API了
4.精確輸入表特征到API,先備份文件,然後LordPE中逐壹修改API名稱,根據3找出的DLL,對該DLL中的API進行逐壹修改,修改壹次查殺壹次,直到不再查殺,以找出被查殺的API
當修改完某個API不殺以後,記錄下該API,然後復制壹份備份文件,直接找到該API並修改,如果修改後還殺,說明還存在其它被查殺的API,則繼續定位,按此方法,直到找出
所有被查殺的API,如果不殺了,則妳記錄下的API就是所有特征了
5.4中得到的被查殺的API就是最終的特征碼了,只需要對它進行免殺處理即可,
如果有源碼可以直接動態調用
如果沒有源碼,可以寫匯編代碼實現動態調用,或者通過其它方式免殺
總結:
1.QVM和雲引擎的查殺的特征
(1)API(最有可能)
(2)資源(有可能)
(3)代碼(可能性小)
(4)其它特征
2.如果查殺API直接使用慣用的方法免殺即可
3.如果查殺資源,可以給程序添加上QQ,IE等正規文件的資源來偽裝
4.如果查殺代碼,可以按正常方式修改
5.如果查殺到其它特征,那麽則需要自己去按照情況來修改了,因為我曾經做過壹個有趣的實驗,壹個正常的文件,360是不查殺的,
但是我給他加壹個區段,然後什麽都沒做,360卻查殺了,按道理來說為了減少誤報率應該不能把這個作為特征來查殺的,但是現在
360它查殺了,所以以後對360的免殺將會越來越麻煩,如果360依舊我行我素,那麽它的誤報率也將繼續提高 加分 加分 累啊