黑客谈免杀 简单分析特征码修改技术
如果你想学习免杀技术:我爱电脑技术论坛! a7 w; r7 I8 P. X; `* V8 ^% R
) l8 z5 W# g; A E0 }8 G电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站 1.基础的汇编语言
' J8 t3 H5 T9 d% }9 ?( J4 f打造最好的电脑自学交流论坛
, b7 y) A7 d7 a, R9 R我爱电脑技术论坛 2.修改工具(不指那些傻瓜式软件)。如:
' y% K! j3 ]2 K D9 A; {( F我爱电脑技术社区--打造最好的电脑技术自学交流平台
5 e2 S2 Q) i% W! \( _电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站 OllyDbg . PEditor. C32ASM . MYCCL复合特征码定位器。UE .OC. 资源编辑器等。还有一些查壳 脱壳软件(如:PEID RL脱壳机等) . 以下是常用的几种免杀方法及工具:
1 O" G! H1 f6 m9 u2 m2 E
7 x" B8 ^ Z+ O+ v我爱电脑技术论坛 一、要使一个木马免杀
- ?: \9 [! \* V0 d/ a0 W5 [7 v打造最好的电脑自学交流论坛
- v: F! \. U3 i$ gwww.520diannao.com 首先要准备一个不加壳的木马,这点非常重要,否则 免杀操作就不能进行下去。 然后我们要木马的内存免杀,从上面分析可以看出,目前的内存查杀,只有瑞星最强,其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀,要进行内存特征码的定位和修改,才能内存免杀。电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站0 E( R- f, j' c) P* l4 m
我爱电脑技术社区--打造最好的电脑技术自学交流平台$ G N& t$ n: g. i
二、对符其它的杀毒软件
+ ? u. ?* K* @2 j! gwww.520diannao.com
" J' {. e5 n: x( S* Y/ W电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站 比如江民,金山,诺顿,卡巴。我们可以采用下面的方法,或这些方面的组合使用。
$ f/ E' n' v2 t% K A- v# \0 [( m打造最好的电脑自学交流论坛我爱电脑技术社区--打造最好的电脑技术自学交流平台; y$ h. P7 W# K( D' g
1>.入口点加1免杀法。
+ U& U; u p* {8 n8 A3 {( T9 N我爱电脑技术社区--打造最好的电脑技术自学交流平台
$ R: n" f) @3 {$ v 2>.变化入口地址免杀法打造最好的电脑自学交流论坛% i2 k& E: F7 G2 a5 L$ L
/ D8 v& z8 O' S, c( A( f我爱电脑技术社区--打造最好的电脑技术自学交流平台 3>.加花指令法免杀法我爱电脑技术论坛 R2 V7 o+ f. I
' J/ H+ D5 h8 _ @+ gwww.520diannao.com 4>.加壳或加伪装壳免杀法。
7 K: ~: @9 q5 D, X e* c6 g7 Rwww.520diannao.com
/ _& E8 |9 l' f5 @# ~5 ], F我爱电脑技术社区--打造最好的电脑技术自学交流平台 5>.打乱壳的头文件免杀法。
0 K' ]$ }- F" |$ b# M0 l/ ]* Awww.520diannao.com电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站- F/ ]+ {$ }2 Z
6>.修改文件特征码免杀法。
) {1 v' G4 V* k& f. i5 [2 n打造最好的电脑自学交流论坛
0 Y0 @, f: S8 p我爱电脑技术社区--打造最好的电脑技术自学交流平台 第三部分:免杀技术实例演示部分www.520diannao.com5 N* b9 a6 D8 K4 ?8 V4 D: |; u8 v
www.520diannao.com9 r" J0 M- l- S! x5 V% \
一、入口点加1免杀法:电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站2 p% v; O! G0 r) z y
www.520diannao.com3 O: H8 g1 S/ a8 F% H
1.用到工具:PEditor我爱电脑技术论坛4 O) r4 I! n! Q% G9 v" I( f
电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站' r/ y3 O2 n; Y Q- F+ U
2.特点:非常简单实用,但有时还会被卡巴查杀。电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站) ?% Z5 e0 w: H$ r ]2 b2 p* c
- f4 E5 h m s+ G3 b
3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可。我爱电脑技术社区--打造最好的电脑技术自学交流平台: d8 S# m. m2 D, M
电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站" l$ o, u9 J# B# p* N1 |+ N
二、变化入口地址免杀法:我爱电脑技术论坛4 s' `+ \2 T% S7 s' n# ^' m
电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站5 D c/ R$ `) A" a
1.用到工具:OllyDbg,PEditor
# {6 e$ z: c \$ \( |8 O% n* a" T8 P6 E* c3 R) [
2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳。
# E9 e7 ~. ?" l- ~0 [7 ?0 H, y# J电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站我爱电脑技术论坛6 {/ m) j' z- s8 w
3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后又跳回到入口点的下面第三句继续执行。最后用PEditor把入口点改成零区域的地址。
' }& C0 t: ~2 [5 W我爱电脑技术社区--打造最好的电脑技术自学交流平台: z3 _, H% E6 ^- E% r# x7 D. Q
三、加花指令法免杀法:
8 }( r! w- S8 x1 y7 j2 f X电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站
, L4 ]; H- I i! l8 m: r打造最好的电脑自学交流论坛 1.用到工具:OllyDbg,PEditor
( H& n$ ^( ~4 b( o( h# }) C9 B电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站
7 c2 P; W2 I5 e6 g 2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀。打造最好的电脑自学交流论坛7 B; j( I. @) b+ q7 E: b
4 ]8 J w! N! B- g2 ?& D+ S xwww.520diannao.com 3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令的着地址。
+ C! x2 t* I, u) j我爱电脑技术社区--打造最好的电脑技术自学交流平台
! G- n1 k H$ C! p3 s3 Y) x# v我爱电脑技术社区--打造最好的电脑技术自学交流平台 四、加壳或加伪装壳免杀法:打造最好的电脑自学交流论坛/ S% z: f( z/ [6 \, ^# L
打造最好的电脑自学交流论坛0 ^9 T* u) A& W, G* N
1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等。打造最好的电脑自学交流论坛/ V x1 z9 D _2 \9 L; W W+ J
5 m; n* X3 [* ^4 W打造最好的电脑自学交流论坛 2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀。
5 J e4 g; k) f0 F我爱电脑技术论坛
( P- Q* _$ C) m; B) @打造最好的电脑自学交流论坛 3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的免杀效果更佳。
4 c/ B [2 e# y" g电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站打造最好的电脑自学交流论坛+ A" r& h8 @$ m% I. w8 |& `
五、打乱壳的头文件或壳中加花免杀法:www.520diannao.com& k/ s8 F: B9 m! {
www.520diannao.com/ u: {- L; s1 @, g5 b: X
1.用到工具:秘密行动 ,UPX加壳工具。打造最好的电脑自学交流论坛. i* _; T6 p% _3 B
我爱电脑技术论坛% U/ t2 x; o6 K/ x* u
2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好。打造最好的电脑自学交流论坛* L7 U- s2 K# \# B# b
4 k( b; g- X H* {; a! cwww.520diannao.com 3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果。
) G5 E& U" Q- u2 S1 w G2 f我爱电脑技术论坛电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站: u8 c5 T! h- X2 k$ i+ U" ?
六、修改文件特征码免杀法:
+ a3 U. E6 M8 _# n/ t! y我爱电脑技术论坛
w9 `/ S2 G7 i) e7 N打造最好的电脑自学交流论坛 1.用到工具:特征码定位器,OllyDbg电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站" p4 y4 x% ]* T) L/ a! k/ U
; u& D X2 E/ |$ Y2 `, m( `* ]& @我爱电脑技术社区--打造最好的电脑技术自学交流平台 2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码。但免杀效果好。打造最好的电脑自学交流论坛& h+ D% h8 Y4 G2 v( ?, ~$ V3 C0 k
5 }; E$ w( V C2 `" H7 O 3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程。
' v4 f) g, c) r; e$ C3 k9 e$ Q+ y7 a我爱电脑技术论坛我爱电脑技术社区--打造最好的电脑技术自学交流平台: B7 Q) w% _- Z- d# Z
第四部分:快速定位与修改瑞星内存特征码电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站' W1 o6 e/ J4 A2 `1 l
6 k! g7 R) C: T, Q, j9 E我爱电脑技术社区--打造最好的电脑技术自学交流平台 一、瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符串作为病毒特征码,这样对我们的定位和修改带来了方便。+ v8 B* c- l, g3 A2 s
电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站; I/ ~- l$ \2 |# |
二定位与修改要点:
' I) \; l" G6 @- W6 T( @: q7 b) W% \5 N
K" e N, C% \. r9 P% I我爱电脑技术论坛 1>.首先用特征码定位器大致定位出瑞星内存特征码位置打造最好的电脑自学交流论坛% m/ c7 z( J# Y2 O( F- u7 J
我爱电脑技术论坛7 x1 |! _8 i! c* u2 q: H$ W
2>.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是字符串,用0替换后再用内存查杀进行查杀。直到找到内存特征码后,只要把字符串的大小写互换就能达到内存免杀效果。我爱电脑技术社区--打造最好的电脑技术自学交流平台 I8 ^& S+ ^! ^$ c5 @1 k1 s
www.520diannao.com7 K. w9 v1 E4 b4 K" B# `' t
第五部分:木马免杀综合方案我爱电脑技术论坛9 b) `" e t( U- E, X
- z+ i8 J) x, x' {" A- Awww.520diannao.com 修改内存特征码——>1>入口点加1免杀法——> 1>加压缩壳——>1>再加壳或多重加壳
b7 Q# l5 Q! D+ y电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站
7 ^' P6 R) Q, Y5 L; F: l: z) Owww.520diannao.com 2>变化入口地址免杀法 2>加成僻壳 2>加壳的伪装。
; ]) ^/ |. Q$ h( b% }3 \* @9 l' E我爱电脑技术社区--打造最好的电脑技术自学交流平台我爱电脑技术社区--打造最好的电脑技术自学交流平台3 u/ p/ y) X, O) o1 u0 r
3>加花指令法免杀法 3>打乱壳的头文件我爱电脑技术社区--打造最好的电脑技术自学交流平台$ A8 d: M [( t5 k$ H5 S
( Q9 F* }" B" m3 I
4>修改文件特征码免杀法我爱电脑技术论坛5 ?5 z' n; F/ F% }! F1 H
www.520diannao.com& v8 _2 {$ A6 X: |/ v
注:这个方案可以任意组合各种不同的免杀方案。并达到各种不同的免杀效果。
& e+ G) S, Z6 H6 V$ Q5 v电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站www.520diannao.com3 d2 n" r$ o! C* c5 Z
第六部分:免杀方案实例演示部分打造最好的电脑自学交流论坛' [4 [1 U4 i; ~
电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站$ B: `! w7 }2 g' P+ l% o. Q2 j9 K
1.完全免杀方案一:
6 \$ a2 _1 l5 Z0 fwww.520diannao.com
: e0 n# y: b& }; ~. \1 H& E; N4 I电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站 内存特征码修改 + 加UPX壳 + 秘密行动工具打乱UPX壳的头文件。
' F5 q" Q% d* p2 E' g" o4 q) _打造最好的电脑自学交流论坛
5 D2 @4 k2 z& E$ p! S$ H, {4 Y" y打造最好的电脑自学交流论坛 2.完全免杀方案二:我爱电脑技术社区--打造最好的电脑技术自学交流平台) s& u1 w! [8 W4 A9 E% L
) z7 Z$ Y7 `0 u/ V1 k" G
内存特征码修改 + 加压缩壳 + 加壳的伪装 )
( c- a; s% K% ]2 Z1 P6 W6 J k) A电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站www.520diannao.com2 n7 G5 }2 B9 ] h% {
3.完全免杀方案三:
" l2 ^; A& S: L1 r. G! B# W5 Y0 u电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站
1 t9 R) x; _& u$ c: Z0 W+ W GD内存特征码修改 + 修改各种杀毒软件的文件特征码 + 加压缩壳www.520diannao.com4 _/ l: \! v0 ?7 _
我爱电脑技术社区--打造最好的电脑技术自学交流平台 \5 \4 l1 {4 `! d1 z! N
4.完全免杀方案四:打造最好的电脑自学交流论坛# l2 q/ G& e6 ^9 A2 ?
我爱电脑技术社区--打造最好的电脑技术自学交流平台0 I. j0 t+ s! G
内存特征码修改 + 加花指令 + 加压壳电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站, m# A$ E/ o' D3 R/ `8 P
电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站4 x) v0 K. {& U5 w
5.完全变态免杀方案五:打造最好的电脑自学交流论坛9 z) h2 g2 E" g% ^: B2 ~2 N5 @% N
" g+ Q5 x7 L5 n/ Y6 f我爱电脑技术论坛 内存特征码修改 + 加花指令 + 入口点加1 + 加压缩壳UPX + 打乱壳的头文件www.520diannao.com' M; U1 x& w% S
. y7 S7 T- _: h1 y# ^. x 还有其它免杀方案可根据第五部分任意组合
