易语言组件花源码花大法防误报免杀360QVM云引擎（洪雨原创）

易语言真的是非常容易被360报毒，几乎可以到90%以上。

 

但是其中还是有漏网之鱼！都说空的易语言程序也会报毒。但是，空的和空的还是有不同。

 

空程序中有“启动窗口将被销毁”会被报毒，去掉版本信息的勾，可以减少误报。

 

这是因为很多易语言编写的恶意程序，在启动窗口创建完毕下有命令，或者启动窗口被销毁下又命令。

 

这种情况很不正常，所以，这种类似的空壳程序就会报毒。

 

洪雨亲测，只要在程序中添加一个按钮，仅此，360就不报毒了。这种空壳程序是不报毒的空壳。

 

重点来了。

 

经过一段时间的摸索，易语言报毒很厉害的地方，多数在于敏感操作上。比如写到文件，运行程序，置剪辑板文本 类似这些。

 

应对这种误报的方法，优先选择外部vbs运行的方法。上几篇文章已经介绍过了，可以参考一下。

 

再就是，应对QVM很好用的一个方法就是资源免杀。删除自身资源，加载其他软件的资源，比如QQ，迅雷等这样有免死金牌的大软件的资源。基本这两步就可以免杀了，为了保险，可以再加个冷壳。（不要猛壳，要冷壳更佳）

 

缺点是，云查杀是非常强力的，免杀时间可能还是不长。

 

再次免杀虽然很容易，只要修改个MD5就可以了，但是毕竟很麻烦。

 

洪雨说说自己最近的领悟。

 

从se壳到tmd壳，这样的猛壳都有一个共同点，就是会加入大量垃圾代码，然后加密，虽然能够导致软件运行缓慢，但是效果非常好。

 

也就是说，大量垃圾代码对于360来讲，还是很有效果的。

 

只是简单的填充，虽然有一定的混淆效果，但是一旦到了内存，又会原形毕露。

 

所以，最好的方法是源码免杀混淆。方法很简单……

 

就是加入大量垃圾运算，最好是加入这样的命令，判断，如果，如果真，和各种取随机命令。跳来跳去，然后进行以万次为单位的快速，但是无意义的垃圾运算。这样就会使360在虚拟机中的内存查杀起到一定干扰作用。洪雨暂且称之为源码花指令。

 

这种基于源码的花指令，真的相当给力，甚至可以模块化，方便调用。

 

再就是组件法，加入大量无意义组件，在组件下加入命令然后相互当作子程序传承。这样效果更是非常的好，我暂且称之为组件花法。

 

源码花 + 组件花 + 换资源 + 冷壳  这样做的免杀，基本可以做到最大限度延长360QVM云引擎误报的效果。

 

最后，洪雨再放个大招。

 

有很多壳都是利用程序死循环进行防御的，所以我们可以在源码中做死循环！

 

方法很简单，写一个无限循环的命令，比如判断循环首，循环判断首，这样直接填写真，进行无限次运算。

 

那问题来了，打开软件，软件就拼命的“发疯”，那怎么办？

 

很简单，我们用自己的行为来跳出死循环，例如点击，例如快捷键。

 

 

洪雨只是记录一下自己的心得体会，和360的博弈路漫漫，综合灵活变通才是王道。