个人过NOD32的本领[菜鸟入门]

文章作者:Sid
研究出这个办法有好久了,平常不怎么搞手工免杀,我也不用,就发出来吧

进程的本质的线程,那么来个线程就行了,但是NOD32不是纯粹的高启迪,还有传统查杀,异或加密一下代码段便可以了

办法是从前的,不知道目前还行不行,先说了再说,嘿嘿

1.异或加密代码段
2.写入以下几句作为进口点

push eax
push eax
push eax
push XXXXXXXX
push eax
push eax
CALL CreateThread
retn

XXXXXXXX地址是干什么的呢?就是解密+跳转到原进口点的指令了...................

相关知识:
PE文件在刚载入的时刻,默许EAX=0,ESP栈顶指向的地址是ExitThread函数,貌似这个函数会等候全部线程退出后才会返回
所以我们自己构造代码,把原进口点作为一个线程去运行,这样线程套着线程,高启迪就艰难了

假如这个办法失效了呢?嘿嘿,持续线程+线程+线程……+异或代码+非常……
特点免杀我都懒得做了,麻烦的要死

不过我还是喜好特点免杀,可以学到很多东西……
最后附上CreateThread函数在SDK中的声明
HANDLE CreateThread(

　　LPSECURITY_ATTRIBUTES lpThreadAttributes,

　　DWORD dwStackSize,

　　LPTHREAD_START_ROUTINE lpStartAddress,

　　LPVOID lpParameter,

　　DWORD dwCreationFlags,

　　LPDWORD lpThreadId);