『壹』 (滿意追加)免殺方法或者免殺教程,學慣用,非常感謝
首先來簡單了解一下殺毒軟體查殺病毒的原理,當前殺毒軟體對病毒的查殺主要有特徵代碼法和行為監測法。其中前一個比較方法古老,又分為文件查殺和內存查殺,殺毒軟體公司拿到病毒的樣本以後,定義一段病毒特徵碼到病毒庫中,然後與掃描的文件比對,如果一致則認為是病毒,內存查殺則是載入內存後再比對,第二個比較新,它利用的原理是某些特定的病毒會有某些特定的行為,來監測病毒。
免殺常用的工具:
Ollydbg 調試器簡稱OD,動態追蹤工具 peid 查殼工具 PEditor PE文件頭編輯工具
CCL,伯樂,MYCCL 特徵碼定位器 oc 地址轉換器 reloc 修改EP段地址工具 zeroadd 加區工具 Uedit32 十六進制編輯器
免殺方法
一.文件免殺
1.加花
2.修改文件特徵碼
3.加殼
4.修改加殼後的文件
二.內存免殺
修改特徵碼
三.行為免殺
加花
加花是文件免 殺的常用手段,加花原理就是通過添加花指令(一些垃圾指令,類似加1減1之類廢話)讓殺毒軟體檢測不到特徵碼。加花可以分為加區加花和去頭加花。一般加花 工具使用加區加花,當然也是可以手工加的,就是先用zeroadd添加一個區段,然後在新加區段里寫入花指令,然後跳轉到原入口;去頭加花,是先NOP (匯編里的空操作)掉程序的入口幾行,然後找到下方0000區,寫入NOP掉的代碼和一些花指令,再通過JMP(匯編里的無條件跳轉)跳到原入口。
加花以後一些殺毒軟體就認不出了,但有些比較強悍的殺毒,比如司機大叔(卡巴斯基)可能還是能查出來,這時就要定位特徵碼然後修改了,要修改首先必須知道特徵碼在哪裡,所以需要先定位特徵碼,這是個難點,特別是復合特徵碼的定位。
特徵碼定位
特徵碼定位主要有兩種方法:第一 直接替換法;第二 二叉數法;
直接替換法是最早開始出現的一種特徵碼定位方法,按一定的位元組數逐個替換原代碼並保存,比如木馬總共100位元組,可以先把0-10個位元組用0替換,保存, 然後用殺毒軟體掃描,不被查殺說明特徵碼已經被覆蓋掉了,如果還被查殺則替換10-20位元組,再保存,掃描……直到找出特徵碼。替換法的優點是容易理解, 速度快(對文件特徵碼而言),特徵碼定位工具伯樂以及CCL的手動方式就是利用的替換法原理,文件特徵碼定位經常使用的就是這種方法。但是對於內存特徵碼的定位這種方法就不太實用了,每次替換以後都要載入內存再掃描,如果木馬較大,替換生成的文件會 非常多,每個都要載入內存花費太多時間,除此之外它還有一個非常大的局限性,就是只能確定只有一處特徵碼的情況(某種特定情況下的多特徵碼也是適用的,下 面的第3種情況將有講述),殺毒軟體還有別的定位特徵碼的機制,比如有的殺毒的定義了a,b兩處特徵碼(三處或者更多原理是一樣的,為了講解方便,以下均 以兩處為例),只要a,b有一個存在便報毒,只有加大替換范圍直到兩處同時被替換才不報毒,如果兩處距離比較遠,定義出的范圍將非常粗糙,很明顯直接替換 法將不再合適,這時第二種方法就有用武之地了。
二叉數法使用的原理是一半一半定位,CCL的自動方式就是運用的這個原理。將待檢測段一分為二,分別替換並生成兩個文件A和B,其中A是原文件後半部分被0替換後生成的,B是前半部分被0替換的,殺毒開始查殺生成文件(如果是內存特徵碼定位則先載入內存再掃描內存),有4種情況
(1)A存在,B被刪:這種情況說明A文件中特徵碼已經被替換掉,因此將A的被替換部分一分為二,起始偏移為A的偏移,再進行檢測;
(2)A被刪,B存在:這種情況說明B文件中特徵碼已經被替換掉,因此將B的被替換部分一分為二,起始偏移為B的偏移,再進行檢測;
(3)A存在,B存在:這種情況說明沒法定位A和B中有沒有特徵碼,因此分別對A和B再一分為二進行檢測;
(4)A被刪,B被刪:這種情況說明兩個區段都存在特徵碼,因此分別對A和B再一分為二進行檢測。
對A再分時會將原來的B區段填充為0,相當於去除B區段的影響,只考慮A;同理對B再分時會將原來的A區段內容填0,相當於去除A區段的影響,只考慮B。
第(1)(2)對應的是只有一處特徵碼的情況,比較容易理解;
第(3)對應的是定義了a,b兩處特徵碼的情況,但是和前面提到的那種不同,殺毒軟體為避免誤判,定義了a,b兩處特徵碼,要ab同時存在時才報毒,假設a,b分別存在於A,B中,a,b不同時存在,殺毒對A,B均不報警,接下來該如何判斷呢?舉個例子說明一下
木 馬原來是…a……b…,第一次替換以後A:…a…000000,B:000000…b…,現在ab不同時存在,A,B都不被殺,則分別對A,B再次一分為 二,…a……b000,…a…000…,000……b…,…a000…b…,再次掃描就可以找到兩處特徵碼的位置,如果還是不行,再繼續分……直到全部找 到;其實這種類型的多特徵碼直接替換也是可以定位的,甚至效果更好,按一定位數替換,然後掃描,只要替換了一個特徵碼就不再報毒,所以不報毒的便是特徵碼 被覆蓋的,不管有幾處都可以定位出,而且修改時也只要修改任意一處就可以了。
第(4)種對應的情況也是殺毒定義了多處特徵碼,就是上面提到的那種情況,只要有一處符合就認定是病毒。還是以a,b兩處特徵碼為例,第一次替換後的結果同(3),兩部分分開考慮,互不影響, 相當於分解成兩個單個特徵碼的情況,第二次替換後變成000000…b000,000000…000…,000…000000,…a000000000, 依此類推,直到精確定位出所有特徵碼,如果有N處特徵碼就相當於分解成N個單特徵碼來定位,現在N一般小於等於3,這種情況定位出的所有特徵碼必須全部修 改了才能免殺。
二叉數法是個很不錯的思路,可以解決大部分的問題,但是不是無懈可擊呢?回答是否定的!可惡的殺毒軟體還有一個殺手鐧,就是復合特徵碼,給我們定位特徵碼 帶來了很大的麻煩。復合特徵碼的定位機制是,先定義出N個特徵碼,只要裡面某些同時出現便認為是病毒。舉個簡單例子說明一下:木馬原來是…a1…b1… c1…a2…b2…c2…(a1,a2一樣,加標號只是為了後面描述方便),只要abc同時出現就認為是病毒,這該如何定位呢?原理不是很難,也是利用替 換再查殺的方法,先從後往前用0替換,替換精度假設為每次替換量增加1000位元組,開始一直顯示是病毒,直到替換到地址13140040(為敘述方便隨便 說的一個地址)時替換的位元組達到15000個,即…a1…b1…00000000,兩個c都被替換掉了,此時顯示不是病毒,由此可知,特徵碼c1就在 13140040後面1000位元組內,減小替換位元組數比如改為替換14900位元組,即精度改為每次替換減小100位元組,還是無毒則減為替換14800字 節,不斷重復……直到精確定位出c1的位置;如果改為從前往後替換,則可以定位出a2的位置;其他特徵碼的定位可以利用已經定位到的c1,a2,把其中一 個用0替換了比如c1,從後往前就可以定位出c2,直到定位出所有特徵碼,其實原理並不復雜,但是要真正手動操作起來卻是非常麻煩的,我們可以利用 MYCCL,它用的原理與之類似,具體操作可以看MYCCL的操作幫助。還有一種方法更科學,原理是一樣,但是替換的位元組數不是等量增加的,而是以2的n -1次方增加的,第一次替換1位元組,第二次2位元組,第三次4位元組……減小時也按照這種規律,這種替換方法有點類似於二叉數法,可以更快定位出特徵碼的位 置,我想這也是MYCCL在復合特徵碼定位方面應該改進的地方吧。
復合特徵碼雖好,大家也不用害怕,認為所有殺毒都來個復合特徵碼我們就要累死了,定義復合特徵碼需要單個特徵碼幾倍的病毒庫,不方便用戶的升級,所以除了特別流行的病毒,定義復合特徵碼的也不是很多。
定位特徵碼有些經驗可以告訴大家,文件特徵碼的定位一般用直接替換法,可以借用CCL的手動定位;內存特徵碼定位,一般用二叉數法,可以用CCL自動定位。對於EXE文件如果文件較小,可以兩種方法結合,先用直接替換法生成,可以用伯樂這個工具(為什麼不用CCL呢,因為伯樂生成的是EXE文件可以看出圖標的模樣),找到還能正常運行的,那些圖標都變了的說明PE頭已經損壞了,就不要試了,然後載入內存,再掃描內存,如果既能正常運行又不被殺,恭喜你!成功了!定位出了大體范圍,再用CCL自動定位,很快就可以完成。如果文件較大,用伯樂生成的文件太多,也不方便,還是用CCL定位,對於DLL文件也只能老老實實用CCL定位了。
特徵碼修改
特徵碼修改可能需要一點匯編的知識,光碟里有常用的匯編語法介紹,修改主要有直接修改法和跳轉修改法。
直接修改法利用的是等效指令替換,比如
add eax,0c等效於sub eax,-0c
或者指令順序的改變不影響執行的效果,比如
add eax,0c;eax寄存器加上0c再賦給eax
add ebx,05;ebx寄存器加上05再賦給ebx
等效於
add ebx,05;ebx寄存器加上05再賦給ebx
add eax,0c;eax寄存器加上0c再賦給eax
還有一種是如果特徵碼是ASCII碼,可以直接修改大小寫,小寫字母換成大寫,大寫的換成小寫。
加殼
不用說了,用工具大家都會,加殼的原理是給原程序加上一段保護程序,有保護和加密功能,運行加殼後的文件是先運行殼再運行真實文件從而起到保護作用。我想提醒大家的是,再好的殼用的人多了,還是會被殺的,所以可以努力學好E文,自己到國外的網站找加殼工具,比較好。
修改加殼後的文件
加殼以後程序入口處會有一段特殊代碼,可以自己用OD打開不同加殼工具加過殼的文件, 可以發現不同的殼開頭那段代碼是不同的,也可以說成是殼的特徵代碼吧,對於常用的殼殺毒軟體可以脫掉殼再查殺,也就是所謂的穿殼技術,為了避免殺毒軟體認 出是加的哪種殼我們可以加雙殼,或者自己修改開頭那段代碼,從而讓殺毒看不出是什麼工具加的殼,這里我只講一種修改方法,可以參照去頭添加花指令,在空白 區域加入一段別的殼的特徵頭,然後JMP跳到原入口,這樣殺毒就會誤判加殼工具,從而達到免殺的效果,其實方法是多樣只要願意思考總能想出應對的方法。
還有一種修改殼的方法就是修改EP段的入口,用Peid查一下加過殼的木馬,可以發現EP段的地址,也就是區段入口,通過修改EP入口地址可以達到免殺的效果,利用的工具是reloc,具體使用方法自己去問google。
行為免殺
這種殺毒的代表是綠鷹PC萬能精靈。一般說來木馬在運行以後會復制到系統目錄下然後運行,原文件可能會自動刪除,現在的木馬一般是插入進程來訪問網路的,在進程里可以看到被插入的進程,設置開機啟動也是木馬必須做的可以寫入注冊表,加入服務,寫入驅動等等,這些便是木馬特有的行為。我們可以用注冊表監控,文件修改監控的工具比如木馬輔助查找器記錄修改的文件、注冊表,推測殺毒可能監控的是哪個行為從而對應修改行為來達到行為免殺。還有一個一般的方法,行為殺毒是不會查殺系統的啟動項的,我們可以把木馬的啟動項替換成非系統必須的開機自啟動項就可以成功免殺了。至於其他的方法,大家可以自己再研究。
至於網上流傳的入口加1,就是用PEditor將木馬入口地址+1,有時也是可以達到免殺的效果,好象是瑞星比較吃這個,還有個小竅門可以告訴大家,要讓 自己的免殺木馬盡量久的不被查到,最好選擇比較老的木馬來做,對新木馬,殺毒盯的緊會經常更新病毒庫,而老的呢……不用說了吧。
總結:
一般免殺步驟是先定義內存特徵碼,修改內存特徵碼,加花指令做文件免殺,如果還被某些殺毒查殺則定義文件特徵碼,修改特徵碼,接下來是行為免殺,然後加殼,再修改殼。內存免殺一般只要做瑞星的就可以了,其他的殺毒軟體沒有真正意義上的內存殺毒,比如卡巴斯基的內存掃描就是文件快速掃描,一般加入花指令(稍微學點匯編,折騰些垃圾代碼是很簡單的)以後就可以躲過金山,瑞星,江民的文件查殺,萬一有不過的就要定位特徵碼再修改,卡巴的文件查 殺是很牛的,加了殼也幾乎都能可以查出來,一般都要定位特徵碼再修改,對於諾頓這種喜歡把特徵碼定位在PE頭的只要用北斗之類工具加個殼,把PE頭改得一 塌糊塗,它就不認識了,如果還想把免殺做好點,可以把自己的服務和注冊表鍵值改成非系統必須的,要是你是不折不扣完美主義者,可以再修改一下加殼後的文件,把免殺進行到底!
『貳』 Windows免殺小結(工具篇)
TheFatRat: https://github.com/Screetsec/TheFatRat
安裝過程介紹得很詳細,這里稍微注意一下:
進入主程序後,先鍵入:6
選擇生成bat文件:
之後用msf進行監聽,在目標機器上執行.bat文件,免殺效果還行
Veil: https://github.com/Veil-Framework/Veil
安裝過程參考: Veil3.1免殺安裝
簡單使用過程:
上傳繞過效果還行:
當然病毒查殺很容易查出來,可以作為上傳繞過手段
Shellter:
利用過程參考: Kali Shellter 5.1:動態ShellCode注入工具 繞過安全軟體
這里使用apt-get安裝:
安裝以後,從終端啟動:
鍵入「A」啟用自動模式
PE目標為plink.exe,這里我們復制一個到root目錄下
在提示PE目標時,輸入:root/plink.exe
當詢問是否啟用隱身模式時輸入:「Y」
在隱身模式新功能下,後門文件仍然具有原始文件的功能
當提示輸入Payloads時選擇「L」然後選擇「1」 Meterpreter_Reverse_TCP
之後輸出攻擊方ip,監聽埠等等
Shellter將會在plink.exe中注入shellcode
這時我們發現跟原文件相比,root目錄下的plink.exe文件變大了些,說明注入完成
之後啟動msf:
我們把plink.exe上傳到目標機
當我們用plink進行遠程登錄的時候,在kali中Metasploit也得到了一個session
老實說,我個人感覺msf得到的session不太穩定,建議提前使用:
注入到一個穩定的進程
AVIator是後門生成器實用程序,使用加密和注入技術來繞過AV檢測。
需要.Net 4.6.1環境才能成功編譯生成程序
項目地址: https://github.com/Ch0pin/AVIator
將msfvenom生成的shellcode輸入到該工具的payload里。AES KEY和IV默認就可以
點擊Encrypt,生成加密後的payload:
目標操作系統根據實際情況選擇,這里選擇x86通用一些。
這里選擇注入類型,在內存中創建新類型。
另外也可以自定義圖標。
點擊generate exe後就可以生成exe後門程序了。
運行後可成功上線。
網上有很多靠python第三方工具來達到免殺效果的文章,也有python載入shellcode之類的文章。有pyinstaller、py2exe。這里說一種打包的方式Py2exe
在windows7虛擬機上安裝python3.4和py2exe(只支持python3.4,使用pip即可)
利用msfvenom生成py腳本:
創建setup.py
這里我們打包生成exe
使用msf進行監聽:
我測試的時候是使用下面的命令進行監聽
運行生成的demo.exe,成功反彈:
免殺是真的牛批!
綜上,經過本地測試和virustotal檢測:
免殺效果:py2exe > TheFatRat > Shellter > Veil = AVIator
Veil生成的惡意程序上傳到帶有騰訊電腦管家的主機中不會被殺死,能正常上傳,但能被查殺發現。
AVIator生成的惡意程序既能上傳又能繞過查殺檢測,但一運行就GG
py2exe賊穩
windows免殺工具三部曲(一)
windows免殺工具三部曲(二)
『叄』 怎麼做免殺
1.加殼免殺大家應該都會,建議你選擇一些生僻殼、強殼、新殼,或者加多重殼。 2.修改殼程序免殺 主要有兩種:一是通過加花指令的方法把殼偽裝成其它殼或者無殼程序。 二是通過reloc類軟體修改殼的區段入口點。 3.修改文件特徵代碼免殺 4.加花指令免殺 此方法通用性強,而且效果好。主要有兩種:加區加花 和 去頭加花。 5.修改內存特徵代碼 內存殺毒強的我個人認為還是我們國內的殺毒軟體瑞星。 修改內存特徵代碼對於初學免殺的朋友來說,難點應該是在內存特徵代碼定位上。 至於內存特徵代碼的修改其實和文件特徵代碼的修改是一樣的為:跳轉修改法 和 直接修改法。但是為了避免出錯,建議大家盡量只使用 直接修改法。 6. 阻止殺毒軟體掃描內存,只是一個思路,可能要編程來實現。聽說有的殼程序可以做到,但是本人還沒有測試和驗證。
『肆』 什麼叫免殺
1免殺的基本概念
免殺是什麼概念呢。大家桐碼模對這個應該有個自己的定義吧。我是把免殺認為通過一些手段使我們的木馬讓殺毒軟體無法查殺,這就是免殺。也是我對免殺的定義。
2.免殺技術的分類
免殺技術分為文件免殺、內存免殺、行為免殺,加殼免殺、加花免殺、修改特徵碼免殺。
文件免殺、內存免殺、行為免殺、
2.加殼免殺
為了防止被殺毒軟體反跟蹤查殺和被跟蹤調試,同時也防止演算法程序被別人靜態分析。最基本的隱藏:不可見窗體+隱藏文件。殼又分為壓縮殼和加密殼。壓縮殼一般壓縮加殼程序,通常壓縮後的文件大小隻有原來的50%-70%但不影響程序的正常使用和所有功能。加密殼是用上了各種反跟蹤技術保護程序不被調試、脫殼等,其加殼後的體積大小不是其考慮的主要因素。
3
加花免殺
什麼是花指令?實際上模缺,把它按照「亂指令」來理解可能更貼切、
就是故意將錯誤的機器指令放在了錯誤的位置,那反匯編時,就有可能連同後面的數據一起錯誤地反匯編出來,這樣,我們看到的就可能是一個錯誤的反匯編代碼。這就是「花指令」,簡而言之,花指令是利用了反匯編時單純根據機局緩器指令字來決定反匯編結果的漏洞。
4
修改特徵碼免殺、
因為殺毒軟體查殺就是自己的病毒庫和木馬的特徵碼對比,如果相同的話就判斷它是木馬,當然我們只要改掉這些代碼就可以免殺了。這就是修改特徵碼免殺。
『伍』 免殺是什麼意思
一樓正解
免殺是不會被殺毒軟體軟體殺掉的病毒或木馬 是病毒的製作人 為了不讓病毒被識別出來 通過鑽殺毒軟體漏洞或者將病毒偽裝成正常程序的辦法 來逃避殺毒軟體的查殺
免殺教程 通常是一些網站或個人 提供一些詳細辦法 供大家學習和參考
如果你沒做肢裝了查毒軟體並且正常更新的話 不用你考慮怎麼防毒 因為大多數的病毒和木馬都會被查出來 如果機器中了胡銀毒 還真的沒查出來 那就是最新的病毒枯世 常人是沒辦法的 只有等殺毒軟體更新後 再進行查殺
『陸』 如何給EXE程序做免殺
下面是我的一點經驗!
一.快速過瑞星查殺
1.用OD載入程序,來到程序入口點攔衡銀。
2.把入口點的第一句PUSH EBE改成POP EBP 然後保存,就可以免殺了!
二.快速過簡宴諾頓查殺
1.(同『一』)
2.再用WinUpack和北斗星這兩款壓縮軟體進行壓縮就OK了!攔舉可以免殺么!
『柒』 木馬程序如何弄免殺
木馬免殺濃縮精華版教程 第一部分:對國內外殺毒軟體分析 在講定位內存特徵碼前,先要分析國內外著名殺毒軟體的內存查殺特點。大家在使用木馬過程都會發現,內存查殺,一般都指得被瑞星的內存查殺。瑞星的內存查殺功能是同類殺毒軟體中最強的一款殺毒軟體。像強悍的卡巴,金山,等等它們的內存查殺意義不大,會製作免殺木馬的人都知道,像這類殺毒軟體,只要文件免殺,內存也就免殺了.還有江民也有內存查殺功能,但內存查殺功能比較弱.只針對影響力非常大的病毒程序.一般的黑客軟體都沒有提取內存特徵碼. 第二部分:木馬免殺的對策 一. 要使一個木馬免殺,首先要准備一個不加殼的木馬,這點非常重要,否則下面的免殺操作就不能進行下去。 二.然後我們要木馬的內存免殺,從上面分析可以看出,目前的內存查殺,只有瑞星最強,其它殺毒軟體內存查殺現在還不起作用所以我們只針對瑞星的內存查殺,要進行內存特徵碼的定位和修改,才能內存免殺。 三.對符其它的殺毒軟體,比如江民,金山,諾頓,卡巴.我們可以採用下面的方法,或這些方面的組合使用. 1>.入口點加1免殺法. 2>.變化入口地址免殺法 3>.加花指令法免殺法 4>.加殼或加偽裝殼免殺法. 5>.打亂殼的頭文件免殺法. 6>.修改文件特徵碼免殺法. 第三部分:免殺技術實例演示部分 一.入口點加1免殺法: 1.用到工具:PEditor 2.特點:非常簡單實用,但有時還會被卡巴查殺. 3.操作要點:用PEditor打開無殼木馬程序,把原入口點加1即可. 二.變化入口地址免殺法: 1.用到工具:OllyDbg,PEditor 2.特點:操作也比較容易,而且免殺效果比入口點加1點要佳. 3.操作要點:用OD載入無殼的木馬程序,把入口點的前二句移到零區域去執行,然後又跳回到入口點的下面第三句繼續執行.最後用PEditor把入口點改成零區域的地址. 三.加花指令法免殺法: 1.用到工具:OllyDbg,PEditor 2.特點:免殺通用性非常好,加了花指令後,就基本達到大量殺毒軟體的免殺. 3.操作要點:用OD打開無殼的木馬程序,找到零區域,把我們准備好的花指令填進去填好後又跳回到入口點,保存好後,再用PEditor把入口點改成零區域處填入花指令的著地址. 四.加殼或加偽裝殼免殺法: 1.用到工具:一些冷門殼,或加偽裝殼的工具,比如木馬綵衣等. 2.特點:操作簡單化,但免殺的時間不長,可能很快被殺,也很難躲過卡巴的追殺. 3.操作要點:為了達到更好的免殺效果可採用多重加殼,或加了殼後在加偽裝殼的免殺效果更佳. 五.打亂殼的頭文件或殼中加花免殺法: 1.用到工具:秘密行動 ,UPX加殼工具. 2.特點:操作也是傻瓜化,免殺效果也正當不錯,特別對卡巴的免殺效果非常好. 3.操作要點:首先一定要把沒加過殼的木馬程序用UPX加層殼,然後用秘密行動這款工具中的SCramble功能進行把UPX殼的頭文件打亂,從而達到免殺效果. 六.修改文件特徵碼免殺法: 1.用到工具:特徵碼定位器,OllyDbg 2.特點:操作較復雜,要定位修改一系列過程,而且只針對每種殺毒軟體的免殺,要達到多種殺毒軟體的免殺,必需修改各種殺毒軟體的特徵碼.但免殺效果好. 3.操作要點:對某種殺毒軟體的特徵碼的定位到修改一系列慢長過程. 第四部分:快速定位與修改瑞星內存特徵碼 一.瑞星內存特徵碼特點:由於技術原因,目前瑞星的內存特徵碼在90%以上把字元串作為病毒特徵碼,這樣對我們的定位和修改帶來了方便. 二.定位與修改要點: 1>.首先用特徵碼定位器大致定位出瑞星內存特徵碼位置 2>.然後用UE打開,找到這個大致位置,看看,哪些方面對應的是字元串,用0替換後再用內存查殺進行查殺.直到找到內存特徵碼後,只要把字元串的大小寫互換就能達到內存免殺效果. 第五部分:免殺方案實例演示部分 1.完全免殺方案一: 內存特徵碼修改 + 加UPX殼 + 秘密行動工具打亂UPX殼的頭文件. 2.完全免殺方案二: 內存特徵碼修改 + 加壓縮殼 + 加殼的偽裝 3.完全免殺方案三: 內存特徵碼修改 + 修改各種殺毒軟體的文件特徵碼 + 加壓縮殼 4.完全免殺方案四: 內存特徵碼修改 + 加花指令 + 加壓殼 5.完全變態免殺方案五: 內存特徵碼修改 + 加花指令 + 入口點加1 + 加壓縮殼UPX + 打亂殼的頭文件 還有其它免殺方案可任意組合.達到更好的免殺效果.
『捌』 什麼是免殺
免殺就是通過修改PE文件的代碼或結構來達到躲避殺毒軟體查殺的目的。
簡單的說:殺基亮毒軟體的原理是匹配特徵碼,而免殺的目的就是要修改這些做喚特徵碼。
而PE文件就是指Windows里的DLL與EXE文件,PE的意思就是Portable Executable,即可移植的執行體。
PE文件總的來說是由DOS文件頭搏胡寬、DOS載入模塊、PE文件頭、區段表、區段五個部分組成。
知道這些是免殺最基礎也是最核心的知識,之後就可以深入的學習免殺了。
『玖』 易語言程序怎麼免殺啊
一共有四個步驟:
1、更換鏈接器:大多數易語言用的都是VC98linker鏈接器,換成VC7linker鏈接器可以減凱改少誤報。鏈接器自己去下載宏孫帆吧!
2、用Restorator刪除不必要的資源:易語言編譯後用Restorator打開編譯出的軟體可以看到一些圖片、窗口之類的,不需要就可以把它刪了,Restorator也去自己下載吧!
3、加殼:我提供一個既可以加殼也可以減小文件體積的東蔽雹西,把程序拖到後綴名為.bat的文件上就行了,地址:http://pmpm.7958.com.cn/down_20064092.html
4、還是報毒就請把文件提交到360網站里,只要你的文件不是病毒,360會允許的,這里提供360提交網址:http://sampleup.sd.360.cn/
到這里基本就能免殺,望採納!
『拾』 怎麼做免殺。。
手工免殺分類:
1.文件免殺和查殺:在不運行程序的前提下使用用殺毒軟體進行對該程序的掃描,所得結果。
2.內存的免殺和查殺:判斷的方法1>運行後,用殺毒軟體的內存查殺功能.
2>用OD載入,用殺毒軟體的內存查殺功能.
什麼叫特徵碼:
1.含意:能識別一個程序是一個病毒的一段不大於64位元組的特徵串.
2.為了減少誤報率,一般殺毒軟體會提取多段特徵串,這時,我們往往改一處就可達到
免殺效果,當然有些殺毒軟體要同時改幾處才能免殺.(這些方法以後詳細介紹)
3.下面用一個示意圖來具體來了解一下特徵碼的具體概念
特徵碼的定位與原理:
1.特徵碼的查找方法:文件中的特徵碼被我們填入的數據(比如0)替換了,那殺毒軟
件就不會報警,以此確定特徵碼的位置
2.特徵碼定位器的工作原理:原文件中部分位元組替換為0,然後生成新文件,再根據殺
毒軟體來檢測這些文件的結果判斷特徵碼的位置
認識特徵碼定位與修改的工具:
1.CCL(特徵碼定位器,由於殺軟的升級,現已過時)
2.MYCCL(特徵碼定位器,由程序員Tanknight在CCL的基礎上改進)
3.OllyDbg (特徵碼的修改,可用於反匯編)
4.C32ASM(特徵碼的修改,也可用於反匯編)
5.OC(用於計算從文件偏移地址到內存地址的小工具)
6.UltaEdit-32(十六進制編輯器,用於特徵碼的手工准確定位或修改)
特徵碼修改方法:
特徵碼修改包括文件特徵碼修改和內存特徵碼修改,因為這二種特徵碼的修改方法
是通用的。所以就對目前流行的特徵碼修改方法作個總節。
方法一:直接修改特徵碼的十六進製法
1.修改方法:把特徵碼所對應的十六進制改成數字差1或差不多的十六進制.
2.適用范圍:一定要精確定位特徵碼所對應的十六進制,修改後一定要測試一下文件能
否正常使用.
方法二:修改字元串大小寫法
1.修改方法:把特徵碼所對應的內容是字元串的,只要把大小字互換一下就可以了.
2.適用范圍:特徵碼所對應的內容必需是字元串,否則不能成功.
方法三:等價替換法
1.修改方法:把特徵碼所對應的匯編指令命令中替換成功能類擬的指令.
2.適用范圍:特徵碼中必需有可以替換的匯編指令.比如JE,JNE 換成JMP等.
如果對匯編不懂的偏移可以去查看8080匯編手冊.
方法四:指令順序調換法
1.修改方法:把具有特徵碼的代碼順序互換一下.
2.適用范圍:具有一定的局限性,代碼互換後必須不能影響程序的正常執行
方法五:通用跳轉法
1.修改方法:把特徵碼移到零區域(指代碼的空隙處)執行後,使用jmp指令無條件調回原代碼處繼續執行下一條指令
2.適用范圍:通用的改法,建議大家要掌握這種改法.
木馬免殺的綜合修改方法:
文件免殺方法:
1.加冷門殼
舉例來說,如果說程序是一張烙餅,那殼就是包裝袋,可以讓你發現不了包裝袋裡的東西是什麼。比較常見的殼一般容易被殺毒軟體識別,所以加殼有時候會使用到生僻殼,就是不常用的殼。現在去買口香糖你會發現至少有兩層包裝,所以殼也可以加多重殼,讓殺毒軟體看不懂。如果你看到一個袋子上面寫著乾燥劑、有毒之類的字你也許就不會對他感興趣了吧,這就是偽裝殼,把一種殼偽裝成其他殼,干擾殺毒軟體正常的檢測。
2.加殼改殼
加殼改殼是病毒免殺常用的手段之一,加殼改殼原理是將一個木馬文件加上upx殼或者其它殼後用lordpe將文件入口點加1,然後將區段字元全部去掉,然後用od打開免殺的木馬在入口上下100字元內修改一些代碼讓殺毒軟體查不出來是什麼殼就不知道怎麼脫就可以實現免殺的目的,但這種技術只有熟悉匯編語言的人才會,這種免殺方法高效可以一口氣過眾多殺軟也是免殺愛好者應該學會的一種技術。
3.加花指令
加花是病毒免殺常用的手段,加花的原理就是通過添加加花指令(一些垃圾指令,類型加1減1之類的無用語句)讓殺毒軟體檢測不到特徵碼,干擾殺毒軟體正常的檢測。加花以後,一些殺毒軟體就檢測不出來了,但是有些比較強的殺毒軟體,病毒還是會被殺的。這可以算是「免殺」技術中最初級的階段。
4.改程序入口點
5.改木馬文件特徵碼的5種常用方法(參見「修改內存特徵碼」)
6.還有其它的幾種免殺修改技巧
修改內存特徵碼:
1.直接修改特徵碼的十六進製法
2.修改字元串大小寫法
3.等價替換法
4.指令順序調換法
5.通用跳轉法
小結:免殺在某種程度上可以說是殺毒軟體的對立面,這種技術隨著殺毒軟體的升級而升級,
從最初的表面查殺到現在的木馬行為防禦(瑞星),文件實時防毒(金山)等等,
免殺技術都將這些繞過,我們可以看到,殺軟每增加一個新功能,免殺新技術就應運而生
用一句古語說,免殺技術是與殺毒軟體相生相剋的。
學習免殺,你將領略到匯編與反匯編的快樂天堂!
自己看,又是我。