易语言 特征码的8种修改方法

点击阅读原文

1.NOP法  （常常检测自己是否定位正确）

2.加1法   （很牛B，很简单，但是不一定实用于每个特征码）

3.大小写替换（很好，很强大，修改后100%可以用！  注意：PE头  函数 不能修改）
 
4.add ecx,2 可以改为　sub ecx,-2
(加ecx内存器＋2      减ecx内存器-2　　- -2得＝2)
（特征码：0046B897）
0046B897:  83C4 F0                    ADD ESP,-10  sub ESP,10

5.push　变　pop　
(特征码：0046B96D)

PUSH EBP—POP EBP
PUSH EDX—POP EDX
POP EDX—PUSH EDX

6.je   变　jnz
(特征码：004230F6)
LOOPD SHORT *.*—JNZ SHORT *

意思：

JE——若ZF=1，则跳转

JMP——无条件跳转

JNZ——若ZF=0，则跳转搜索

PUSH——压栈

7.add 变 sub

8.call跳转
call   A  （原地址）
修改  call B (0区域)
B的位置写   call A
4000
(原地址)
00423210:  E8 3B1DFFFF                CALL 00414F50  （原地址）

0049575C:  0000                       ADD [EAX],AL  (0区域)

add=adc    sbb=sub    jmp=call    jp=je