杀毒与免杀技术详解之四：特征码修改方法_简单总结

    在前几篇文章中，我们讨论了特征码定位的方法，这种方法对于特征码引擎来说几乎是通杀的。既然定位完毕了，自然就要讨论一下修改的办法了！
    笔者在这里将这些方法列为一张表格:

特征码修改方法	简单示例	原理	适用范围
等价替代法	add eax, 5，改为sub eax, -5	指令功能的相似性	汇编指令
通用跳转法	不好演示	jmp到一个空白处，再修改空白处指令jmp回来	通用
位移法	一条指令后移n位，空出来的位置填充nop	位置变了，功能不变	后面有nop的指令
填充法	直接全覆盖00	不重要的数据，直接填充没影响	不重要数据(此方法局限性大)
大小写替换法	a.exe改为a.EXE	字符串有时改大小写不敏感	某些字符串
加一减一法	数据直接加1或减1	数值、字符之类的数据，这样修改影响不大	不敏感的数据

    其实这表格看看就好，实际免杀中，还是分析了实际情况之后，想办法灵活地修改。方法肯定不能局限，可能有很多很多方法还没被总结出来。修改的原则就是: “尽量保证程序功能不变”。
    这一篇笔者觉得不必细讲，难度也不大，多测试下就OK了。大家可以自己动手试试，我们下篇见！