EPO是寫病毒用的一門防殺技巧,從檔案頭的地方跳轉,在一定程度上防止AV檢測,跳轉地方選擇的越深,隐藏性能越好。
跳轉處的選擇一般決定于LDE(專門分析指令長度的引擎)的性能。搞個LDE很麻煩,我的想法,是搞個通用表,裡面放上常用的編譯器編譯出來的exe的指令,比如MFC的:
004021D0 H> 55 push ebp
004021D1 8BEC mov ebp,esp
004021D3 8B45 14 mov eax,dword ptr ss:[ebp+14]
004021D6 50 push eax
004021D7 8B4D 10 mov ecx,dword ptr ss:[ebp+10]
004021DA |. 51 push ecx
将目前宿主的檔案頭跟表裡的比較,如果一樣,那就桉MFC的程式算,往下跳轉的地方選擇的深一點。表裡再放上别的常用編譯器特征,雖然說通用性能差,但是速度快,也不占用空間,個人感覺有點前途,沒見過此類東西出現,或許有人已經用過也未必。