(精選)免殺全教程【請勿用于非法】

1、(完整)免殺全教程【請勿用于非法】(完整)免殺全教程【請勿用于非法】PAGE3(完整)免殺全教程【請勿用于非法】木馬精華免殺教程教程來自【暗黑網(wǎng)絡(luò)】暗黑網(wǎng)絡(luò)技術(shù)公會讓更多的朋友了解黑客-YY496342本公會采用YY方式是讓您更加方便的交流和學(xué)習(xí)，本公會，免費(fèi)贈送工具，教程，等一切免費(fèi)，大量招收導(dǎo)師如果覺得你行那就來試試吧YY496342本公會+此文檔只是讓大家多一點(diǎn)防范的意識請勿用于非法第一部分：對國內(nèi)外殺毒軟件分析在講特征碼前，先要分析國內(nèi)外著名殺毒軟件的查殺特點(diǎn)。大家在使用木馬過程都會發(fā)現(xiàn)，內(nèi)存查殺，一般都指得被瑞星的內(nèi)存查殺。瑞星的內(nèi)存查殺功能是同類殺毒軟件中最強(qiáng)的一款殺毒軟件。像強(qiáng)悍

2、的卡巴，金山，等等它們的內(nèi)存查殺意義不大,會制作免殺木馬的人都知道,像這類殺毒軟件,只要文件免殺,內(nèi)存也就免殺了.還有江民也有內(nèi)存查殺功能,但內(nèi)存查殺功能比較弱.只針對影響力非常大的病毒程序.一般的黑客軟件都沒有提取內(nèi)存特征碼.第二部分：木馬免殺的對策一.要使一個木馬免殺，首先要準(zhǔn)備一個不加殼的木馬，這點(diǎn)非常重要，否則下面的免殺操作就不能進(jìn)行下去。二.然后我們要木馬的內(nèi)存免殺，從上面分析可以看出，目前的內(nèi)存查殺，只有瑞星最強(qiáng)，其它殺毒軟件內(nèi)存查殺現(xiàn)在還不起作用所以我們只針對瑞星的內(nèi)存查殺，要進(jìn)行內(nèi)存特征碼的定位和修改，才能達(dá)到內(nèi)存免殺。二.對符其它的殺毒軟件，比如江民，金山，諾頓,卡巴.我們可

3、以采用下面的方法,或這些方面的組合使用.1.入口點(diǎn)加1免殺法.2.變化入口地址免殺法3.加花指令法免殺法4.加殼或加偽裝殼免殺法.5.打亂殼的頭文件免殺法.6.修改文件特征碼免殺法.第三部分:免殺技術(shù)實例演示部分一.入口點(diǎn)加1免殺法:(NC)1.用到工具:PEditor2.特點(diǎn):非常簡單實用,但有時還會被卡巴查殺.3.操作要點(diǎn):用PEditor打開無殼木馬程序,把原入口點(diǎn)加1即可.二.變化入口地址免殺法:(NC)1.用到工具:OllyDbg,PEditor2.特點(diǎn):操作也比較容易,而且免殺效果比入口點(diǎn)加1點(diǎn)要佳.3.操作要點(diǎn):用OD載入無殼的木馬程序,把入口點(diǎn)的前二句移到零區(qū)域去執(zhí)行,然后又跳

4、回到入口點(diǎn)的下面第三句繼續(xù)執(zhí)行.最后用PEditor把入口點(diǎn)改成零區(qū)域的地址.三.加花指令法免殺法:(Sniff)1.用到工具:OllyDbg,PEditor2.特點(diǎn):免殺通用性非常好,加了花指令后,就基本達(dá)到大量殺毒軟件的免殺.3.操作要點(diǎn):用OD打開無殼的木馬程序,找到零區(qū)域,把我們準(zhǔn)備好的花指令填進(jìn)去填好后又跳回到入口點(diǎn),保存好后,再用PEditor把入口點(diǎn)改成零區(qū)域處填入花指令的著地址.四.加殼或加偽裝殼免殺法:(findpass)1.用到工具:一些冷門殼,或加偽裝殼的工具,比如木馬彩衣等.2.特點(diǎn):操作簡單化,但免殺的時間不長,可能很快被殺,也很難躲過卡巴的追殺.3.操作要點(diǎn):為了達(dá)

5、到更好的免殺效果可采用多重加殼,或加了殼后在加偽裝殼的免殺效果更佳.五.打亂殼的頭文件免殺法:(nc)1.用到工具:秘密行動 ,UPX加殼工具.2.特點(diǎn):操作也是傻瓜化,免殺效果也正當(dāng)不錯,特別對卡巴的免殺效果非常好.3.操作要點(diǎn):首先一定要把沒加過殼的木馬程序用UPX加層殼,然后用秘密行動這款工具中的SCramble功能進(jìn)行把UPX殼的頭文件打亂,從而達(dá)到免殺效果.六.修改文件特征碼免殺法:1.用到工具:特征碼定位器,OllyDbg2.特點(diǎn):操作較復(fù)雜,要定位修改一系列過程,而且只針對每種殺毒軟件的免殺,要達(dá)到多種殺毒軟件的免殺,必需修改各種殺毒軟件的特征碼.但免殺效果好.3.操作要點(diǎn):對某

6、種殺毒軟件的特征碼的定位到修改一系列慢長過程.第四部分:快速定位與修改瑞星內(nèi)存特征碼一.瑞星內(nèi)存特征碼特點(diǎn):由于技術(shù)原因,目前瑞星的內(nèi)存特征碼在90%以上把字符串作為病毒特征碼,這樣對我們的定位和修改帶來了方便.二定位與修改要點(diǎn):1.首先用特征碼定位器大致定位出瑞星內(nèi)存特征碼位置2.然后用UE打開,找到這個大致位置,看看,哪些方面對應(yīng)的是字符串,用0替換后再用內(nèi)存查殺進(jìn)行查殺.直到找到內(nèi)存特征碼后,只要把字符串的大小寫互換就能達(dá)到內(nèi)存免殺效果.第五部分:木馬免殺綜合方案修改內(nèi)存特征碼1入口點(diǎn)加1免殺法 1加壓縮殼1再加殼或多重加殼2變化入口地址免殺法2加生僻殼2加殼的偽裝.3加花指令法免殺法3打亂殼的頭文件4修改文件特征碼免殺法注:這個方案可以任意組合各種不同的免殺方案.并達(dá)到各種不同的免殺效果.第六部分:免殺方案實例演示部分1.完全免殺方案一:(灰鴿子內(nèi)存特征碼修改 + 加UPX殼 + 秘密行動工具打亂UPX殼的頭文件.2.完全免殺方案二:(findpass)內(nèi)存特征碼修改 + 加壓縮殼 + 加殼的偽裝3.完全免殺方案三:內(nèi)存特征碼修改 + 修改各種殺毒軟件的文件特征碼 + 加壓縮殼4.完全免殺方案四:內(nèi)存