1.NOP法 (常常检测自己是否定位正确)
2.加1法 (很牛B,很简单,但是不一定实用于每个特征码)
3.大小写替换(很好,很强大,修改后100%可以用! 注意:PE头 函数 不能修改)
4.add ecx,2 可以改为 sub ecx,-2
(加ecx内存器+2 减ecx内存器-2 - -2得=2)
(特征码:0046B897)
0046B897: 83C4 F0 ADD ESP,-10 sub ESP,10
5.push 变 pop
(特征码:0046B96D)
PUSH EBP—POP EBP
PUSH EDX—POP EDX
POP EDX—PUSH EDX
6.je 变 jnz
(特征码:004230F6)
LOOPD SHORT .—JNZ SHORT *
意思:
JE——若ZF=1,则跳转
JMP——无条件跳转
JNZ——若ZF=0,则跳转搜索
PUSH——压栈
7.add 变 sub
8.call跳转
call A (原地址)
修改 call B (0区域)
B的位置写 call A (原地址)
00423210: E8 3B1DFFFF CALL 00414F50 (原地址)
0049575C: 0000 ADD [EAX],AL (0区域)
add=adc sbb=sub jmp=call jp=je
