再談delphi逆向的新方法

2019-09-10 09:01:58

字體：大中小

來源：轉載

供稿：網友

今天定位瑞星殺毒軟件竟然在函數上面，一調用就殺了。。所以問了一下百度大哥，他給了幾點意見。大家可以一起參考一下：
delphi免殺的方法總結如下：
一。添加垃圾匯編代碼。
其實許多的朋友都是知道的，Delphi支持在代碼中嵌套匯編代碼。也就是說，如果加入了垃圾匯編代碼，就網網可以直接過免殺。
例如：
asm
nop
nop
nop
end;
這樣的形式。。。可以在多處加入這樣的垃圾代碼，該招數對瑞星效果不錯，對7.0的卡吧效果不明顯了，6.0時的卡吧基本通殺。PS：我也加了幾個花，瑞星就不報了。呵呵。。這招還是屢試不爽吼~
二.修改單元文件名。
許多的殺毒軟件喜歡查殺單元文件名，往往把單元文件名改名后，也可以達到很好的免殺的效果。。。

三.提取出部分函數，COPY到新建的單元里。
這種方法可以很好的改變程序的代碼執行結構?？梢詫⒆远x的部分函數給COPY到一個新建的單元中去。（注意加入該函數要使用的單元文件。）COPY進去以后的單元再加入到USES下。這樣，就不會受任何影響的完成調用功能了。適合查殺指定特征碼的殺毒軟件。

四.修改函數結構。
其實這個是最難的，實現起來非常辛苦，而往往要調用的許多API都是WIN32下的。。。。NOD32牛X也就牛X到這里了，全區段的查殺函數名或函數結構。雖然系統提供的不能夠很好的修改，但不代表每一次殺的都是系統的那部分撒（其實也就NOD32光明正大的去殺調用的WINDOWS提供的API，可能是他認為某些函數只有黑客工具或木馬病毒類程序才會調用吧。）自定義函數名和結構是可以改的。當然，有一定的底子，如果還是初學階段連看都看不懂，還是不要改的比較好。。。。

以上方法給了我很大的啟發。呵呵。行動了。。。免殺小瑞星去~~

上一篇：破解圣經之------滾瓜爛熟篇(背50遍)

下一篇：輸入表隱藏、加密的原理和手工實現