软件一些改壳免杀技巧

传奇广告宣传

1.sub eax,9
改为 adc eax,-9
2.add eax,9
改为 sbb eax,-9
3.mov eax,ebx
改为push ebx ,pop eax
4.mov eax,ebx
mov ecx,dword ptr ds:[eax]
mov dword ptr ds:[edi],eax
改为
push ebx
push dword ptr ds:[eax]
push eax
pop dword ptr ds:[edi]
pop ecx
pop eax
连着的mov语句就可以这么改
5.call xxxx
改为 push {call语句的下一个语句的首地址}
jmp xxxxxx
6.add 改 adc
7.sub 改sbb
8.jmp xxxx 改 push eax call xxxxx pop eax pop eax 或push xxxx retn 或push eax mov eax,xxxxx(此句可分解为push xxxx,pop eax) jmp eax pop eax 或 jnz xxx jz xxx 等等
9.test eax,eax(左右必须相同) 改and eax,eax
10.cmp eax,0(右面必须是0)改 sub eax,0
11.mov eax,0 改xor eax,eax 或 and eax,0 或sub eax,eax或push 0; pop eax
这些等价替换都是建立在不改变程序思想的,99%都不会出错
12.遇到jnz或jz时 用od载入如果发现近入口点的判断跳,把从判断语句到跳到后来的地址之间的指令nop掉,然后把判断语句和判断跳也nop了 中间插些花指令
13.改完壳别忘了再添个花指令 最好伪装成别的壳,让杀软按错误的方向脱