特征码修改

这里讲两个通用的方法。特征码不可能只由某一句指令来确定，这样误报率会非常高，因此通常是多条指令的组合，我们只要将这个组合打乱既可。最简单的方法当然是两条指令调个顺序，我们把它叫做指令顺序调换法，它使用的范围仅限于互不干扰的两条指令。可有很多情况，指令的执行顺序是不能调的，比如上面的6条指令，这时就用第二种方法，那就是，咳咳，通用跳转法则：在文件中寻找一个空隙，（由于对齐的原因，PE文件中往往会有一些空隙处没有代码，全部为0。为什么？补课的先！）将原来的指令改成一个跳转，跳到这个空隙去执行，空隙处填入我们原来的指令，执行完毕再跳转回去。我们将OllyDbg的滚动条向下拉，Look，在0x00405D20处有空隙