360 QVM启发式引擎的研究

360 QVM 确实比较恶心，最近研究发现了，正常的马（即没有异或、反启发之类加密）很容易免杀360，但是只要加入异或代码、反启发代码，360就一直查杀入口点，因为这些代码基本都是写在入口处的嘛。。

所以：想过360，就尽量别用加密。。 或则自己写出生僻的加密代码

PS： 不加密，其他一堆杀软都很难过。。。。自己也会很难过。。   ^_^

近期做的几个马发现，QVM启发式应该是基于卡巴反启发的。。为什么，因为通过定位、修改、加密等等手段测试之后（其他主流都已经免杀掉），发现这两款在特征处极其相似，还有就是卡巴和360基本同时免杀，或则同时不免杀。

所以：我喜欢先免杀卡巴，觉得卡巴比360好下手点，毕竟认识卡巴的时间更久点。

PS：不要企图用数字证书过卡巴，再过360哦。。因为卡巴里面有一个选项“不扫描具有数字证书的文件”，但是360可木有哦。。

PS：一直以来很多时候都是根据定位特征码来修改的，但是随着杀软技术的发展，会越来越发现这种免杀开始无力起来。很典型就是输入表免杀，呵呵。咋不懂源码，也没时间去研究那么长的源码，所以只能另辟捷径。   对付360QVM也一样，思维扩散点，别纠结在特征码上了。多动动歪脑筋，还是有发挥余地的，我连续花了1个多月时间已经攻克了QVM，还是比较欣喜的，所以稍微写点思路。。