推荐投稿:免杀Nod32字符串技巧

首先看这个生成好的服务端，它是过所有10大杀软了，但这周NOD32大量更新特征码，数量多而且很变态，NOD32的最高启发式特征码如下：

[特征] 0009AE10_00000001 wwwroot/

我们C32载入看下，发现是个字符串，把它填充后测试下，不杀了，说明特征码定位是正确的，免杀字符串的时候一般会改大小写或是移位，改大小写的方法肯定是行不通的，我就不浪费时间测试了，下面用移位法测试下。

新位置：0009AF40 0049BB40

移完后还是被杀的，跟它的输入表一样，也是移到哪杀到哪，那么我们就用另一种方法，直接改调用这处字符串的汇编语句。具体的看操作

mov ecx,49BA10

004C21C7 零区域
0049B7DA 跳回去

这样就免杀NOD32了，其它的杀软也是全免的，我简单测试下，想免卡巴更容易，把上线信息的最后一个字符改一下，这样我们的鸽子就完美了，测试下线