易語言真的是非常容易被360報毒,幾乎可以到90%以上。
但是其中還是有漏網之魚!都說空的易語言程序也會報毒。
但是,空的和空的還是有不同。
空程序中有“啟動窗口將被銷毀”會被報毒,去掉版本信息的勾,可以減少誤報。
這是因為很多易語言編寫的惡意程序,在啟動窗口創建完畢下有命令,或者啟動窗口被銷毀下又命令。
這種情況很不正常,所以,這種類似的空殼程序就會報毒。
洪雨親測,只要在程序中添加一個按鈕,僅此,360就不報毒了。這種空殼程序是不報毒的空殼。
重點來了。
經過一段時間的摸索,易語言報毒很厲害的地方,多數在於敏感操作上。比如寫到文件,運行程序,置剪輯板文本 類似這些。
應對這種誤報的方法,優先選擇外部vbs運行的方法。上幾篇文章已經介紹過了,可以參考一下。
再就是,應對QVM很好用的一個方法就是資源免殺。刪除自身資源,加載其他軟件的資源,比如QQ,迅雷等這樣有免死金牌的大軟件的資源。基本這兩步就可以免殺了,為了保險,可以再加個冷殼。(不要猛殼,要冷殼更佳)
缺點是,雲查殺是非常強力的,免殺時間可能還是不長。
再次免殺雖然很容易,只要修改個MD5就可以了,但是畢竟很麻煩。
洪雨說說自己最近的領悟。
從se殼到tmd殼,這樣的猛殼都有一個共同點,就是會加入大量垃圾代碼,然后加密,雖然能夠導致軟件運行緩慢,但是效果非常好。
也就是說,大量垃圾代碼對於360來講,還是很有效果的。
只是簡單的填充,雖然有一定的混淆效果,但是一旦到了內存,又會原形畢露。
所以,最好的方法是源碼免殺混淆。方法很簡單……
就是加入大量垃圾運算,最好是加入這樣的命令,判斷,如果,如果真,和各種取隨機命令。跳來跳去,然后進行以萬次為單位的快速,但是無意義的垃圾運算。這樣就會使360在虛擬機中的內存查殺起到一定干擾作用。洪雨暫且稱之為源碼花指令。
這種基於源碼的花指令,真的相當給力,甚至可以模塊化,方便調用。
再就是組件法,加入大量無意義組件,在組件下加入命令然后相互當作子程序傳承。這樣效果更是非常的好,我暫且稱之為組件花法。
源碼花 + 組件花 + 換資源 + 冷殼 這樣做的免殺,基本可以做到最大限度延長360QVM雲引擎誤報的效果。
最后,洪雨再放個大招。
有很多殼都是利用程序死循環進行防御的,所以我們可以在源碼中做死循環!
方法很簡單,寫一個無限循環的命令,比如判斷循環首,循環判斷首,這樣直接填寫真,進行無限次運算。
那問題來了,打開軟件,軟件就拼命的“發瘋”,那怎么辦?
很簡單,我們用自己的行為來跳出死循環,例如點擊,例如快捷鍵。
洪雨只是記錄一下自己的心得體會,和360的博弈路漫漫,綜合靈活變通才是王道。