一些过时的免杀技巧 仅供参考

QVM07免杀方法

HEUR/Malware.QVM06.Gen   一般情况下加数字签名可过

HEUR/Malware.QVM07.Gen   一般情况下换资源

HEUR/Malware.QVM13.Gen   加壳了

HEUR/Malware.QVM19.Gen   杀壳 （lzz221089提供 ）

HEUR/Malware.QVM20.Gen   改变了入口点

HEUR/Malware.QVM27.Gen   输入表

HEUR/Malware.QVM18.Gen  加花

HEUR/Malware.QVM05.Gen  加资源，改入口点

HEUR/Malware.QVM15.Gen 2e646c6c替换成00000000

 

QVM07加资源一般加到2M会报QVM06

再加数字签名，然后再慢慢减资源，这个方法对大部分木马有效果。

QVM06 加数字签名

QVM12杀壳

QVM13杀壳

QVM27杀输入表

QVM19 加aspack

QVM20就加大体积/加aspack压缩

=========================================

QVM 18.19 解决方法 入口点加1 在合并区段OVM 06 07 加数字签名均能过

QVM20 加3.4个资源在加数字签名

云引擎； 入口点变异 或者修改MD5

云引擎； 通用免杀方法加资源版本和图标 再加ASPack ，后门程序 ； 解决方法 加PassQVM1.2 报QVM07 添加手动数字签名 就能过，小红伞源码免杀就杀几个下载函数。

无特征码免杀直接隐藏输入表  添加空区段，特征码免杀就对定位到的主函数进行跨区段移位api函数在本区段找空白移位。记住移位后的新地址在OC转为内存地址 在修改指针 如果不行就减去镜像基址，大多都是RVA地。

定位到DLL文件上直接填充，加壳免杀直接加se或者穿山甲这些就过了。

BD免杀处理； 改资源 换图标 版本 再加个强壳 最后加个签名，

无特征免杀； PE优化 加签名DLL文件  PE头移动 小熊PE修改器，加区段小熊PE修改器 加函数跟主函数添加一样的 微软压缩永久免杀。改壳免杀 等价替换 为实现跳转NOP掉 添加空区段 clcc指令可以nop。或者打乱pE结构  PE结构打乱工具  前提做处理 加资源 打乱pE结构  在加壳

07 入口点加1

20 打乱

18 入口点加1，换资源

 

报07 +1

加完数字签名报20

打乱报18

删资源

报07 换资源

加签名

免杀过QVM07的五种方法

1，入口点加1

2，换偏门资源

3，伪装免杀痕迹清除器

4，区段加密工具

5，PE头清除器