免杀360QVM人工智能
HEUR/Malware.QVM06.Gen 一般情况下加数字签名可过
HEUR/Malware.QVM07.Gen 一般情况下换资源
HEUR/Malware.QVM13.Gen 加壳了
HEUR/Malware.QVM19.Gen 杀壳 (lzz221089提供 )
HEUR/Malware.QVM20.Gen 改变了入口点
HEUR/Malware.QVM27.Gen 输入表
HEUR/Malware.QVM18.Gen 加花
HEUR/Malware.QVM05.Gen 加资源,改入口点
========以上网上收集的,下面是个人经验==============
QVM02 找特征
QVM07 加资源一般加到2M会报QVM06
再加数字签名,然后再慢慢减资源,这个方法对大部分木马有效果。
QVM06 加数字签名
QVM12杀壳
QVM13杀壳
QVM27杀输入表
QVM19 加aspack
QVM20就加大体积/加UPX压缩
QVM 18.19 解决方法 入口点加1 在合并区段
OVM 06 07 加数字签名均能过
QVM20 加3.4个资源在加数字签名
云引擎; 入口点变异 或者修改MD5
云引擎; 通用免杀方法加资源版本和图标 再加ASPack
后门程序 ; 解决方法 加PassQVM1.2 报QVM07 添加手动数字签名 就能过
小红伞源码免杀就杀几个下载函数
无特征码免杀直接隐藏输入表 添加空区段
特征码免杀就对定位到的主函数进行跨区段移位api函数在本区段找空白移位
记住移位后的新地址在OC转为内存地址 在修改指针 如果不行就减去镜像基址
大多都是RVA地址
定位到DLL文件上直接填充
加壳免杀直接加se或者穿山甲这些就过了
BD免杀处理; 改资源 换图标 版本 再加个强壳 最后加个签名
无特征免杀; PE优化 加签名DLL文件 PE头移动 小熊PE修改器
加区段小熊PE修改器 加函数跟主函数添加一样的 微软压缩永久免杀
改壳免杀 等价替换 为实现跳转NOP掉 添加空区段 clcc指令可以nop
或者打乱pE结构 PE结构打乱工具 前提做处理 加资源 打乱pE结构 在加壳