杀毒软件的工作方式
俗话说,知己知彼,百战不殆. 杀毒软件保护电脑的方式一般有静态签名查杀,静态启发式查杀, 动态查杀,云查杀和主动防御几种....第一代杀毒软件使用的就是这种方法,现在仍然在使用,不过通常会和其他检测方式协同工作....我们知道变量与某个定值异或(xor)两次之后还是自己本身,因此我用异或作为 简单的加解密方式,这里用0x26做异或:
void xor_codec(const unsigned char *in, unsigned...以及解密逻辑的代码编译为test360-2.exe,上传到 在线查杀看看结果:
virscan-2
看来只要简单的加密,就能绕过大多数基于签名的静态查杀....重要的是,有什么办法可以绕过360的动态检测呢? 其实方法有很多,这里只举一个最简单的例子:内存加载.