上篇《大灰狼远控之大小写翻转免杀小红伞引擎(一)》文章我们通过简单的大小写转换,成功免杀掉了小红伞本地引擎。然后还远远达不到预期的效果,虽然小红伞不杀了,但是QVM人工智能引擎还在报毒。我们就继续接着上篇文章讲解,把QVM人工智能引擎也给免杀了。

人工智能

既然是需要免杀QVM人工智能引擎,那么我就必须先进行断网,不然云查杀引擎会一直干扰的。断网后如果360不杀你的木马,那你就重命名一下在扫描进行扫描,就会报QVM人工智能引擎了。

QVM人工智能引擎

打开上篇文章用到的工具MYCC,把QVM人工引擎的特征码也给定位出来。由于上篇文章我们已经把小红伞本地引擎给免杀了,所以小红伞本地引擎不会继续报毒。只需要按照平时定位特征码那样,一直重复定位就好了。

mycc定位特征码

通过使用MYCC对木马程序的定位,得出了有2处的特征码。分别是 00040366、000403FA。然后我们打开C32用90 把特征码所在的位置 直接给填充了,然后先测试一下看看能不能免杀。

修改特征码

经过简单的测试木马是可以免杀,这就说明我们找的特征码是正确的。那么接下来应该怎么修改这俩处特征码? 都已经免杀了 还修改啥。对 你没有听错 是不用再继续修改了,不信你可以运行你的木马程序试试 是不是可以正常上线。

免杀QVM人工引擎

我读书读的多 是不会骗你的。90″指令即空指令, 运行该指令时会什么都不做 。 程序中部分区域是可以用00和90进行填充的,填充后程序依然可以正常运行。

虽然小红伞本地引擎和QVM人工智能引擎已经成功被免杀掉了,但这远远还不达不到完全免杀大灰狼远控的地步。因为我们所做的这一切,都是在前提条件没有联网的情况下进行的。

360五大守卫之一 号称是 云端守卫 的云查杀引擎 还没上场,这家伙可是个狠角色。 来也匆匆去也匆匆不太好对付,预知后事如何请看节分享。

最后修改日期:2019年9月4日

留言

This article is perfect

撰写回覆或留言

发布留言必须填写的电子邮件地址不会公开。