一、如何木马免杀
第一步:要想做好木马的免杀,就一定需要了解杀毒软件的特点。
木马的免杀通常来说,有两种。一个是被动免杀,一个是主动免杀。
所谓被动免杀,就是通过给木马加壳加花来达到免杀的效果,这种方法很简单,但是免杀效果不好,
一般只能过表面免杀,而且免杀期很短。
所谓主动免杀,就是通过修改木马被杀的特征码来达到免杀的效果,这种方法比较复杂,但是效果很好
二、如何做木马免杀
木马免杀浓缩精华版教程
第一部分:对国内外杀毒软件分析
在讲定位内存特征码前,先要分析国内外著名杀毒软件的内存查杀特点。大家在使用木马过程都会发现,内存查杀,一般都指得被瑞星的内存查杀。瑞星的内存查杀功能是同类杀毒软件中最强的一款杀毒软件。像强悍的卡巴,金山,等等它们的内存查杀意义不大,会制作免杀木马的人都知道,像这类杀毒软件,只要文件免杀,内存也就免杀了.还有江民也有内存查杀功能,但内存查杀功能比较弱.只针对影响力非常大的病毒程序.一般的黑客软件都没有提取内存特征码.
第二部分:木马免杀的对策
一.要使一个木马免杀,首先要准备一个不加壳的木马,这点非常重要,否则下面的免杀操作就不能进行下去。
二.然后我们要木马的内存免杀,从上面分析可以看出,目前的内存查杀,只有瑞星最强,其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀,要进行内存特征码的定位和修改,才能内存免杀。
三.对符其它的杀毒软件,比如江民,金山,诺顿,卡巴.我们可以采用下面的方法,或这些方面的组合使用.
1>.入口点加1免杀法.
2>.变化入口地址免杀法
3>.加花指令法免杀法
4>.加壳或加伪装壳免杀法.
5>.打乱壳的头文件免杀法.
6>.修改文件特征码免杀法.
第三部分:免杀技术实例演示部分
一.入口点加1免杀法:
1.用到工具:PEditor
2.特点:非常简单实用,但有时还会被卡巴查杀.
3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可.
二.变化入口地址免杀法:
1.用到工具:OllyDbg,PEditor
2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳.
3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址.
三.加花指令法免杀法:
1.用到工具:OllyDbg,PEditor
2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀.
3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令的着地址.
四.加壳或加伪装壳免杀法:
1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等.
2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀.
3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的免杀效果更佳.
五.打乱壳的头文件或壳中加花免杀法:
1.用到工具:秘密行动,UPX加壳工具.
2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好.
3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.
六.修改文件特征码免杀法:
1.用到工具:特征码定位器,OllyDbg
2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好.
3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程.
第四部分:快速定位与修改瑞星内存特征码
一.瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符串作为病毒特征码,这样对我们的定位和修改带来了方便.
二.定位与修改要点:
1>.首先用特征码定位器大致定位出瑞星内存特征码位置
2>.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征码后,只要把字符串的大小写互换就能达到内存免杀效果.
第五部分:免杀方案实例演示部分
1.完全免杀方案一:
内存特征码修改+加UPX壳+秘密行动工具打乱UPX壳的头文件.
2.完全免杀方案二:
内存特征码修改+加压缩壳+加壳的伪装
3.完全免杀方案三:
内存特征码修改+修改各种杀毒软件的文件特征码+加压缩壳
4.完全免杀方案四:
内存特征码修改+加花指令+加压壳
5.完全变态免杀方案五:
内存特征码修改+加花指令+入口点加1+加压缩壳UPX+打乱壳的头文件
还有其它免杀方案可任意组合.达到更好的免杀效果.
三、带有免杀技术的木马怎么处理
免杀,目前用得比较多的免杀方法有加壳、修改特征码和加花指令三种,以此逃避杀毒软件的查杀。
由于目前杀毒软件对病毒的查杀方法不同,就出现了不一样的免杀病毒
对付免杀病毒,首先可以尝试多杀毒软件查杀。因为不同病毒的免杀技术一般不同,而由于杀软查杀技术不同,所以有些杀软无法清除的,其他的就可以(在此提一下,诺顿对免杀病毒的查杀很弱。。。)
对付很厉害的免杀病毒,建议你去找高手朋友,使用诸如冰刃之类的软件进行手动清除
或重装
四、怎么搞免杀木马
免杀分为2种
需要一些基础的汇编知识
((1、主动免杀
1.修改字符特征:
2.修改输入表:查找此文件的输入表函数名,并将其移位。
3.利用跳转打乱文件原有结构。
4.修改入口点:将文件的入口点加1。
5.修改PE段:将PE段移动到空白位置
((2、被动免杀
1.修改特征码:用一些工具找出特征码并针对特征码做免杀处理。
比如说OD
2.使用Vmprotect加密区段。
3,可以用一些比较生僻的壳对木马文件进行保护。
我现在做就是改特征码后加上几个壳
然后达到免杀效果,也许时间不会很常久,但是也能坚持一端时间
呵呵
不过对于现在的类似瑞星2008
先强行关闭
他的杀软
才是最行之有效的.他们杀毒不靠特征码
文章分享结束,关于木马免杀的一些方法_免杀木马和带有免杀技术的木马怎么处理的答案你都知道了吗?欢迎再次光临本站哦!
