免杀360QVM人工智能

HEUR/Malware.QVM06.Gen    一般情况下加数字签名可过

HEUR/Malware.QVM07.Gen    一般情况下换资源

HEUR/Malware.QVM13.Gen    加壳了

HEUR/Malware.QVM19.Gen    杀壳 （lzz221089提供 ）

HEUR/Malware.QVM20.Gen    改变了入口点

HEUR/Malware.QVM27.Gen    输入表

HEUR/Malware.QVM18.Gen   加花

HEUR/Malware.QVM05.Gen   加资源，改入口点

========以上网上收集的，下面是个人经验==============

QVM02 找特征

QVM07 加资源一般加到2M会报QVM06

再加数字签名，然后再慢慢减资源，这个方法对大部分木马有效果。

QVM06 加数字签名

QVM12杀壳

QVM13杀壳

QVM27杀输入表

QVM19 加aspack

QVM20就加大体积/加UPX压缩

 

QVM 18.19 解决方法 入口点加1 在合并区段

OVM 06 07 加数字签名均能过

QVM20 加3.4个资源在加数字签名

 

云引擎； 入口点变异 或者修改MD5

云引擎； 通用免杀方法加资源版本和图标 再加ASPack

 

后门程序 ； 解决方法 加PassQVM1.2 报QVM07 添加手动数字签名 就能过

 

小红伞源码免杀就杀几个下载函数

无特征码免杀直接隐藏输入表  添加空区段

特征码免杀就对定位到的主函数进行跨区段移位api函数在本区段找空白移位

记住移位后的新地址在OC转为内存地址 在修改指针 如果不行就减去镜像基址

大多都是RVA地址

定位到DLL文件上直接填充

 

加壳免杀直接加se或者穿山甲这些就过了

 

BD免杀处理； 改资源 换图标 版本 再加个强壳 最后加个签名

 

无特征免杀； PE优化 加签名DLL文件  PE头移动 小熊PE修改器

加区段小熊PE修改器 加函数跟主函数添加一样的 微软压缩永久免杀

改壳免杀 等价替换 为实现跳转NOP掉 添加空区段 clcc指令可以nop

或者打乱pE结构  PE结构打乱工具  前提做处理 加资源 打乱pE结构  在加壳