日本电子维修技术 黑客惯用免杀技术介绍：

黑客惯用免杀技术介绍：

　　一、要使一个木马免杀

　　首先要准备一个不加壳的木马，这点非常重要，否则 免杀操作就不能进行下去。 然后我们要木马的内存免杀，从上面分析可以看出，目前的内存查杀，只有瑞星最强，其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀，要进行内存特征码的定位和修改，才能内存免杀。

　　二、对符其它的杀毒软件

　　比如江民，金山，诺顿，卡巴。我们可以采用下面的方法，或这些方面的组合使用。

　　1>.入口点加1免杀法。

　　2>.变化入口地址免杀法

　　3>.加花指令法免杀法

　　4>.加壳或加伪装壳免杀法。

　　5>.打乱壳的头文件免杀法。

　　6>.修改文件特征码免杀法。

　　三、免杀技术实例演示部分

　　1、入口点加1免杀法：

　　1)用到工具：PEditor

　　2)特点：非常简单实用，但有时还会被卡巴查杀。

　　3)操作要点：用PEditor打开无壳木马程序，把原入口点加1即可。

　　2、变化入口地址免杀法：

　　1)用到工具：OllyDbg，PEditor

　　2)特点：操作也比较容易，而且免杀效果比入口点加1点要佳。

　　3)操作要点：用OD载入无壳的木马程序，把入口点的前二句移到零区域去执行，然后又跳回到入口点的下面第三句继续执行。最后用PEditorr把入口点改成零区域的地址。

　　3、加花指令法免杀法：

　　1)用到工具：OllyDbg，PEditor

　　2)特点：免杀通用性非常好，加了花指令后，就基本达到大量杀毒软件的免杀。

　　3)操作要点：用OD打开无壳的木马程序，找到零区域，把我们准备好的花指令填进去填好后又跳回到入口点，保存好后，再用PEditor把入口点改成零区域处填入花指令的着地址。

　　4、加壳或加伪装壳免杀法：

　　1)用到工具：一些冷门壳，或加伪装壳的工具，比如木马彩衣等。

　　2)特点：操作简单化，但免杀的时间不长，可能很快被杀，也很难躲过卡巴的追杀。

　　3)操作要点：为了达到更好的免杀效果可采用多重加壳，或加了壳后在加伪装壳的免杀效果更佳。

　　5、打乱壳的头文件或壳中加花免杀法：

　　1)用到工具：秘密行动 ，UPX加壳工具。

　　2)特点：操作也是傻瓜化，免杀效果也正当不错，特别对卡巴的免杀效果非常好。

　　3)操作要点：首先一定要把没加过壳的木马程序用UPX加层壳，然后用秘密行动这款工具中的SCramble功能进行把UPX壳的头文件打乱，从而达到免杀效果。

　　6、修改文件特征码免杀法：

　　1)用到工具：特征码定位器，OllyDbg

　　2)特点：操作较复杂，要定位修改一系列过程，而且只针对每种杀毒软件的免杀，要达到多种杀毒软件的免杀，必需修改各种杀毒软件的特征码。但免杀效果好。

　　3)操作要点：对某种杀毒软件的特征码的定位到修改一系列慢长过程。
四、快速定位与修改瑞星内存特征码

　　1、瑞星内存特征码特点：由于技术原因，目前瑞星的内存特征码在90%以上把字符串作为病毒特征码，这样对我们的定位和修改带来了方便。

　　2、定位与修改要点：

　　1)首先用特征码定位器大致定位出瑞星内存特征码位置

　　2)然后用UE打开，找到这个大致位置，看看，哪些方面对应的是字符串，用0替换后再用内存查杀进行查杀。直到找到内存特征码后，只要把字符串的大小写互换就能达到内存免杀效果。

　　五、木马免杀综合方案

　　修改内存特征码——>1)入口点加1免杀法——> 1>加压缩壳——>1>再加壳或多重加壳

　　2)变化入口地址免杀法 2>加成僻壳 2>加壳的伪装。

　　3)加花指令法免杀法 3>打乱壳的头文件

　　4)修改文件特征码免杀法

　　注：这个方案可以任意组合各种不同的免杀方案。并达到各种不同的免杀效果。

　　六、免杀方案实例演示部分

　　1、完全免杀方案一：

　　内存特征码修改 + 加UPX壳 + 秘密行动工具打乱UPX壳的头文件。

　　2、完全免杀方案二：

　　内存特征码修改 + 加压缩壳 + 加壳的伪装 )

　　3、完全免杀方案三：

　　GD内存特征码修改 + 修改各种杀毒软件的文件特征码 + 加压缩壳

　　4、完全免杀方案四：

　　内存特征码修改 + 加花指令 + 加压壳

　　5、完全变态免杀方案五：

　　内存特征码修改 + 加花指令 + 入口点加1 + 加压缩壳UPX + 打乱壳的头文件

　　还有其它免杀方案可根据第五部分任意组合





评论
楼主用过吗？
能对付微点吗？

评论
告诉你，没用，看楼主头像你就明白了，杀毒软件也天天升级，顶多下载后免杀，一运行就露馅了，你既然是病毒木马，就肯定要有不正常行为，杀软发现你不对劲，就把你杀了

评论
技术旧了点，但是也是成为高手的基础。

评论
一个小菜鸟在努力的学习中

评论
什么杀毒软件好一点呢，现在杀毒的那么多

评论
太专业咧 十分佩服LZ的钻研精神 一个病毒都这么多道道

评论
其实用VM是个好办法，用完就关，自动恢复如初。

评论
等下载木马了自己的电脑也不就中毒了？


评论


评论
学习了解了  基础

评论
。。。这都是10年以前的功夫了 早out的

评论
thank you bro for this info


评论
东西是老了点，不过基础的东西多研究还是有好处的。


评论
哟，不错！！！！！！！！！！！

评论
其实很多杀毒软件检测无法渗透程序壳就直接报毒了

评论
电路 电子 维修 求创维42c08RD电路图 评论 电视的图纸很少见 评论 电视的图纸很少见 评论 创维的图纸你要说 版号，不然无能为力 评论 板号5800-p42ALM-0050 168P-P42CLM-01 电路 电子 维修 我现在把定影部分拆出来了。想换下滚，因为卡纸。但是我发现灯管挡住了。拆不了。不会拆。论坛里的高手拆解过吗？ 评论 认真看，认真瞧。果然有收
 ·日本中文新闻 唐田绘里香为新剧《极恶女王》剃光头 展现演员决心
·日本中文新闻 真子小室夫妇新居引发隐私担忧
·日本中文新闻 前AKB48成员柏木由纪与搞笑艺人交往曝光
·日本学校 ｛日本国际学校｝梅田インターナショナルスクール
·日本学校 LINE：sm287 陳雨菲、20歳、台湾からの留学生、東京に来たばかり
·日本留学生活 出售平成22年走行48000km 代步小车
·日本华人网络交流 円相場　一時1ドル＝140円台まで上昇？
·日本华人网络交流 问日本华人一个问题
·日本旅游代购 富山接机
 ·生活百科 英国转澳大利亚转换插头
·汽车 【求助】修车遇到困难怎么办？