文章作者：lyws
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

最近想到一个问题，如果我们的壳可以将解密的密码和壳分离的话，就不怕静态扫描了。所以就做了这个壳，将解密的密码以最后一个参数的方式传入程序，在由壳解密运行。杀毒软件应该不会想到用参数取运行程序，自然就免杀了。

呵呵! 思路很不错.这样确实有用

不过下面这样的代码太丑了//
004018B8  |.  66:813E 4D5A  cmp     word ptr [esi], 5A4D
004018BD  |.  74 02         je      short 004018C1
004018BF  |.  EB 21         jmp     short 004018E2
004018C1  |>  0376 3C       add     esi, dword ptr [esi+3C]
004018C4  |.  813E 50450000 cmp     dword ptr [esi], 4550
004018CA  |.  74 02         je      short 004018CE
004018CC  |.  EB 14         jmp     short 004018E2

[ 本帖最后由 洋洋洒洒 于 2008-4-12 10:36 编辑 ]

你这个不算是一个免杀壳,只不过是加了一个密码验证的思路demo
不是打击楼主的激情,思路真的没什么新意...
代码加密没必要传参,更简便的方法是你的壳随机生成加密密钥,
把加密密钥写在压缩加密的程序里就行,过静态免杀小case

一个是程序中有密钥
一个是程序中没有密钥
前者杀毒软件可以轻易的找到密钥并解密代码
其它懒得说了

找密钥解密代码....
如果你是搞杀软开发的..你该失业了

很多年以后 一加一还是等于二
数学理论基础不会变.
没有密钥不能读到代码,你如何查杀

忠言逆耳时常见,,,,,,,,,,,,
   就看作者如何心态面对了,,,,,,,顶一下LZ.....支持下,希望再努力.......

随便找了个程序测试了下，加壳后图标变了

evilcoder：
PolyBox[C]...的原理及是如此。。。可是最后得到的结果是～
你的解密头部不会Poly～无效被杀。。。
传参是不错。但是。还有有一定局限性

洋洋洒洒：
传参。。哈哈说白了就是双进程。。。
杀毒软件模拟的都是原始程序。。。
一般无法模拟第二个程序。。。因为这样很容易造成死循环。。。

吗啡的方法就不错。将程序伪装成一个。真正的PE文件。
没有占内存段。导入表也是新节中添加的。重定位，导入表，TLS等
都是模拟的，给杀毒软件造成一个假象。认为他就是PE。。。
所以免杀了。。。
免杀壳应该把自己构造成一个。PE，里面会出现各种函数的调用，随机导入表
当然对于自身的导入表也有新的要求。。。

按照zhuwg的说法就是av就是程序。。。他不可能智能化的脱掉任何壳。。。
所以你不用太在意他是什么。。。改变壳特征即可（对付NOD32.等保护好自己的导入表即可）反正我觉得文件免杀。一劳永逸的方法没有。觉得最可靠的还是。。。

类似文件合并器的那种方法。但是许多pe是不存在重定位表的。。这点很令人头疼。
抽代码只能对付一般的代码定位，重建导入表还是API重定向也可以。但是。最关键的问题还是。。。文件免杀。数据是无法移动的。。。及时IDA也无法做到重建重定位表。。。
拿到重定位表我们就可以把PE反过来玩。。。
OBJ层免杀不错。。。反转扭曲～这个引擎写写也很好玩

我试了一下。。为什么一加上壳
程序就无法运行了呢?

呵呵 加壳后测试文件不能运行

就是这个问题，应该不是一个成功的作品

现在的杀软不在是查杀表面,而是查杀内存,不管你如果加密,最终还原内存里,

加壳后就没反应了.

程序还没成功，等待作者更好的改进吧。。。支持你，千万不要放弃改进。。。。

想法我觉得也不错啊！
但加壳后程序就不能运行了！
LZ要注意修改一下！

加壳后程序运行出错了.

为什么一加上壳,程序就无法运行了呢?

有想法就行。。。。。。。。。

一步一步向前走，支持楼主！

能运行吗,这样的免杀,虽然可以躲过杀毒软件的扫描,好象破坏了原来的结构

可以直接报壳
或者直接加
就可以报了
还是通杀
呵呵

貌似不行勒
楼主在改进一下吧

支持共享精神 继续努力