HEUR/Malware.QVM06.Gen 一般情況下加數字簽名可過
HEUR/Malware.QVM07.Gen 一般情況下換資源
HEUR/Malware.QVM13.Gen 加殼了
HEUR/Malware.QVM19.Gen 殺殼 (lzz221089提供 )
HEUR/Malware.QVM20.Gen 改變了入口點
HEUR/Malware.QVM27.Gen 輸入表
HEUR/Malware.QVM18.Gen 加花
HEUR/Malware.QVM05.Gen 加資源,改入口點
========以上網上收集的,下面是個人經驗==============
QVM02 找特征
QVM07 加資源一般加到2M會報QVM06
再加數字簽名,然后再慢慢減資源,這個方法對大部分木馬有效果。
QVM06 加數字簽名
QVM12殺殼
QVM13殺殼
QVM27殺輸入表
QVM19 加aspack
QVM20就加大體積/加UPX壓縮
QVM 18.19 解決方法 入口點加1 在合並區段
OVM 06 07 加數字簽名均能過
QVM20 加3.4個資源在加數字簽名
雲引擎; 入口點變異 或者修改MD5
雲引擎; 通用免殺方法加資源版本和圖標 再加ASPack
后門程序 ; 解決方法 加PassQVM1.2 報QVM07 添加手動數字簽名 就能過
小紅傘源碼免殺就殺幾個下載函數
無特征碼免殺直接隱藏輸入表 添加空區段
特征碼免殺就對定位到的主函數進行跨區段移位api函數在本區段找空白移位
記住移位后的新地址在OC轉為內存地址 在修改指針 如果不行就減去鏡像基址
大多都是RVA地址
定位到DLL文件上直接填充
加殼免殺直接加se或者穿山甲這些就過了
BD免殺處理; 改資源 換圖標 版本 再加個強殼 最后加個簽名
無特征免殺; PE優化 加簽名DLL文件 PE頭移動 小熊PE修改器
加區段小熊PE修改器 加函數跟主函數添加一樣的 微軟壓縮永久免殺
改殼免殺 等價替換 為實現跳轉NOP掉 添加空區段 clcc指令可以nop
或者打亂pE結構 PE結構打亂工具 前提做處理 加資源 打亂pE結構 在加殼