免杀的简单原理
免杀,顾名思义就是说避免被杀毒软件查杀! 打造最好的电脑自学交流论坛* g6 h+ f) w- u; f( d
: L" j1 \' y7 z6 d1 d8 v5 x1 |打造最好的电脑自学交流论坛免杀的方法也有很多种,针对不同的情况我们运用不同的免杀方法。
( K9 L8 u/ x- U6 z! a电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站⒈文件免杀:加花/修改文件特征码/加壳/修改加壳后的文件。
( V! k9 \) t5 M) }4 d5 V电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站⒉内存免杀:修改特征码。
4 _' D' y. } p$ D4 w⒊行为免杀。
0 X. `6 }6 [/ b1 _. V8 a: d2 i我爱电脑技术社区--打造最好的电脑技术自学交流平台现在我来揭开免杀神秘的面纱。(这里不对免杀做深入讨论,只对原理进行分析,毕竟这不是黑客教程) 我爱电脑技术社区--打造最好的电脑技术自学交流平台9 c, [5 }' O; P- B7 j/ u
加花
1 T+ c0 J6 A% o! I# h加花是病毒免杀的常用手段,加花原理就是通过添加加花指令(一些垃圾指令,类似加1减1之类的无用语句)让杀毒软件检测不到特征码。加花可以分为加区加花和去头加花。(只做了解,不做解释)
* e5 t( A: M4 i1 y* s我爱电脑技术社区--打造最好的电脑技术自学交流平台特征码修改
/ C2 r( h% Y* v8 G. ^6 Xwww.520diannao.com加花以后一些杀毒软件就认不出来了,但有些比较强的杀毒软件,像卡巴斯基这类,可能还是会被杀,这时就要定位特征码修改了,要修改特征码,就要先定位杀毒软件的病毒库所定位的特征码,这个有一定难度,特别是复合特征码的定位,但复合特征码虽然增加了定位特征码的难度,但复合特征码也有它的弱点,因为定义复合特征码需要单个特征码几倍的病毒库,不方便用户的病毒库升级,所以除了特别流行的病毒,杀毒软件厂商并没有做太多的复合特征码。 打造最好的电脑自学交流论坛( Z; Q6 J) X! [- N& Q
定位了特征码之后就应该修改特征码了,主要方法有两种:直接修改法,跳转修改法。 我爱电脑技术论坛) q; Y, i/ \# T
直接修改法利用的是等效指令替换,或者指令顺序的改变不影响执行的效果。还有一种是如果特征码是ASCll码,可以直接修改大小写,大写替换小写,小写替换大写。 电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站# I- o1 P; Y6 V
跳转修改发比较简单,主要原理是把有特征码的那段NOP掉,然后把NOP掉的那段语句写入空白的0000区,在通过JMP跳转连接起来,让杀毒软件找不到特征码,从而达到免杀的目的。 我爱电脑技术社区--打造最好的电脑技术自学交流平台$ g4 W2 x0 X- ~+ J- Z
5 K( f* e) C( g) m5 \加壳
5 d7 l0 b, t. {8 }0 t% r打造最好的电脑自学交流论坛加壳的原理是给原程序加上一段保护程序,有保护和加密功能,运行加壳后的文件先运行壳再运行真实文件,从而起到保护作用。
$ J& d4 B/ t/ O. P G, b" _我爱电脑技术社区--打造最好的电脑技术自学交流平台我爱电脑技术社区--打造最好的电脑技术自学交流平台. [1 f' Q+ n, R1 j) g, C/ w+ q
脱壳当然就是去掉保护程序
3 _( z. A/ E8 V: m2 [$ k电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站
2 Q7 x& `7 l+ x4 r3 }+ d1 E我爱电脑技术论坛
5 R! k, {, h# T5 s想要加壳后能达到免杀的效果 电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站" h% X# _- R6 a9 g h8 l; w6 p
& w( c3 U1 o' [/ w- T# E打造最好的电脑自学交流论坛那就要加最新的免杀壳
