『壹』 木馬怎麼做免殺,會的寫詳細點本人菜鳥!
如果你想學習免殺技術:1.基礎的匯編語言 2.修改工具(不指那些傻瓜式軟體).如:
OllyDbg . PEditor. C32ASM . MYCCL復合特徵碼定位器.UE .OC. 資源編輯器等.還有一些查殼 脫殼軟體(如:PEID RL脫殼機等) . 以下是常用的幾種免殺方法及工具:一. 要使一個木馬免殺,首先要准備一個不加殼的木馬,這點非常重要,否則
免殺操作就不能進行下去。
二.然後我們要木馬的內存免殺,從上面分析可以看出,目前的內存查殺,只有
瑞星最強,其它殺毒軟體內存查殺現在還不起作用所以我們只針對瑞星的內存查殺
,要進行內存特徵碼的定位和修改,才能內存免殺。
二.對符其它的殺毒軟體,比如江民,金山,諾頓,卡巴.我們可以採用下面的方
法,或這些方面的組合使用.1>.入口點加1免殺法.
2>.變化入口地址免殺法
3>.加花指令法免殺法
4>.加殼或加偽裝殼免殺法.
5>.打亂殼的頭文件免殺法.
6>.修改文件特徵碼免殺法.
第三部分:免殺技術實例演示部分
一.入口點加1免殺法:
1.用到工具:PEditor
2.特點:非常簡單實用,但有時還會被卡巴查殺.
3.操作要點:用PEditor打開無殼木馬程序,把原入口點加1即可.
二.變化入口地址免殺法:
1.用到工具:OllyDbg,PEditor
2.特點:操作也比較容易,而且免殺效果比入口點加1點要佳.
3.操作要點:用OD載入無殼的木馬程序,把入口點的前二句移到零區域去執行,然後
又跳回到入口點的下面第三句繼續執行.最後用PEditor把入口點改成零區域的地址.
三.加花指令法免殺法:
1.用到工具:OllyDbg,PEditor
2.特點:免殺通用性非常好,加了花指令後,就基本達到大量殺毒軟體的免殺.
3.操作要點:用OD打開無殼的木馬程序,找到零區域,把我們准備好的花指令填進去
填好後又跳回到入口點,保存好後,再用PEditor把入口點改成零區域處填入花指令
的著地址.
四.加殼或加偽裝殼免殺法:
1.用到工具:一些冷門殼,或加偽裝殼的工具,比如木馬綵衣等.
2.特點:操作簡單化,但免殺的時間不長,可能很快被殺,也很難躲過卡巴的追殺.
3.操作要點:為了達到更好的免殺效果可採用多重加殼,或加了殼後在加偽裝殼的
免殺效果更佳.
五.打亂殼的頭文件或殼中加花免殺法:
1.用到工具:秘密行動 ,UPX加殼工具.
2.特點:操作也是傻瓜化,免殺效果也正當不錯,特別對卡巴的免殺效果非常好.
3.操作要點:首先一定要把沒加過殼的木馬程序用UPX加層殼,然後用秘密行動這款
工具中的SCramble功能進行把UPX殼的頭文件打亂,從而達到免殺效果.
六.修改文件特徵碼免殺法:
1.用到工具:特徵碼定位器,OllyDbg
2.特點:操作較復雜,要定位修改一系列過程,而且只針對每種殺毒軟體的免殺,要
達到多種殺毒軟體的免殺,必需修改各種殺毒軟體的特徵碼.但免殺效果好.
3.操作要點:對某種殺毒軟體的特徵碼的定位到修改一系列慢長過程.
第四部分:快速定位與修改瑞星內存特徵碼
一. 瑞星內存特徵碼特點:由於技術原因,目前瑞星的內存特徵碼在90%以上把字元
串作為病毒特徵碼,這樣對我們的定位和修改帶來了方便.
二定位與修改要點:1>.首先用特徵碼定位器大致定位出瑞星內存特徵碼位置
2>.然後用UE打開,找到這個大致位置,看看,哪些方面對應的是
字元串,用0替換後再用內存查殺進行查殺.直到找到內存特徵
碼後,只要把字元串的大小寫互換就能達到內存免殺效果.
第五部分:木馬免殺綜合方案
修改內存特徵碼--->1>入口點加1免殺法---> 1>加壓縮殼--->1>再加殼或多重加殼
2>變化入口地址免殺法 2>加成僻殼 2>加殼的偽裝.
3>加花指令法免殺法 3>打亂殼的頭文件
4>修改文件特徵碼免殺法
注:這個方案可以任意組合各種不同的免殺方案.並達到各種不同的免殺效果.
第六部分:免殺方案實例演示部分
1.完全免殺方案一:
內存特徵碼修改 + 加UPX殼 + 秘密行動工具打亂UPX殼的頭文件.
2.完全免殺方案二:
內存特徵碼修改 + 加壓縮殼 + 加殼的偽裝
3.完全免殺方案三:
內存特徵碼修改 + 修改各種殺毒軟體的文件特徵碼 + 加壓縮殼
4.完全免殺方案四:
內存特徵碼修改 + 加花指令 + 加壓殼
5.完全變態免殺方案五:
內存特徵碼修改 + 加花指令 + 入口點加1 + 加壓縮殼UPX + 打亂殼的頭文件
還有其它免殺方案可根據第五部分任意組合.