基础免杀-特征码定位 – 作者:FengDao

首先拿到一个被扫了会报毒的工具，比如ew_for_Win.exe

然后先关闭杀毒软件，打开特征码定位工具VirTest

点击制作测试文件，选择ew_for_Win.exe

弹出上面提示后将杀毒软件开起来，之后点击载入测试文件，选择VirTest目录下的virtest.vir文件，点击定位特征代码

这里选择等待1秒定位，然后点击确认。

根据反复排查后得出被查杀的特征码

然后使用十六进制编辑器打开报毒文件

将报毒的特征码进行大小写替换后另存一个新的exe文件，再扫描发现没有报毒了

正常打开也没问题，看样子运气有点好

大小写替换可以使用是因为windows系统对大小写不敏感，不够不是绝对好使的，某些情况下还是会报错

除了大小写替换也可以选择将特征码用00覆盖，或者加一减一来绕过查杀，不过以上三种暴力的修改方式都有几率导致exe文件不能正常执行

来源：freebuf.com 2021-05-06 18:23:29 by: FengDao