完好揭密免杀技术[菜鸟入门]

免杀技术全揭密
一.关于免杀的根源
为了让我们的木马在各种杀毒软件的威胁下活的更久.
二.什么叫免杀和查杀
可分为二类:
1.文件免杀和查杀:不运行程序用杀毒软件举行对该程序的扫描,所得后果.
2.内存的免杀和查杀:判断的办法1>运行后,用杀毒软件的内存查杀功效.
                  2>用OD载入,用杀毒软件的内存查杀功效.

三.什么叫特点码

1.含义:能辨认一个程序是一个病毒的一段不大于64字节的特点串.
2.为了削减误报率,普通杀毒软件会提取多段特点串,这时,我们常常改一处便可到达
免杀效果,当然有些杀毒软件要同时改几处才能免杀.(这些办法今后具体介绍)
3.下面用一个表示图来具体来理解一下特点码的具体概念

四.特点码的定位与原理

1.特点码的查找办法:文件中的特点码被我们填入的数据（比方0）替换了,那杀毒软
件就不会报警,以此肯定特点码的位置

2.特点码定位器的工作原理:原文件中部份字节替换为0,然后生成新文件,再按照杀
毒软件来检测这些文件的后果判断特点码的位置

五.熟习特点码定位与改正的工具

1.CCL(特点码定位器)
2.OOydbg (特点码的改正)
3.OC用于计算从文件地址到内存地址的小工具.
4.UltaEdit-32(十六进制编辑器,用于特点码的手工准肯定位或改正)

六.特点码改正办法

特点码改正包含文件特点码改正和内存特点码改正,因为这二种特点码的改正办法
是通用的.所以就对目前风行的特点码改正办法作个总节.

办法一:直接改正特点码的十六进制法
1.改正办法:把特点码所对应的十六进制改成数字差1或差不多的十六进制.

2.实用范围:一定要切肯定位特点码所对应的十六进制,改正后一定要测试一下能
否正常利用.

办法二:改正字符串大小写法
1.改正办法:把特点码所对应的内容是字符串的,只要把大小字交换一下便可以了.
2.实用范围:特点码所对应的内容必须是字符串,不然不能成功.

办法三:等价替换法
1.改正办法:把特点码所对应的汇编指令号令中替换成功能类拟的指令.
2.实用范围:特点码中必须有可以替换的汇编指令.比方JN,JNE 换成JMP等.
假如和我一样对汇编不懂的可以去查查8080汇编手册.          

办法四:指令次序改换法
1.改正办法:把具有特点码的代码次序交换一下.
2.实用范围:具有一定的范围性,代码交换后要不能影响程序的正常履行

办法五:通用跳转法
1.改正办法:把特点码移到零区域(指代码的闲暇处),然后一个JMP又跳回来履行.
2.实用范围:没有什么条件,是通用的改法,激烈倡议大家要掌握这种改法.

七.木马免杀的综合改正办法

文件免杀办法:
1.加冷门壳
2.加花指令
3.改程序进口点
4.改木马文件特点码的5种常用办法
5.还有别的的几种免杀改正本领

内存免杀办法:

改正内存特点码:
办法1>直接改正特点码的十六进制法
办法2>改正字符串大小写法
办法3>等价替换法
办法4>指令次序改换法
办法5>通用跳转法
木马的免杀[学用CLL定位文件和内存特怔码]

1.首先我们来看下什么叫文件特点码.
普通我们可以这样认为,一个木马程序在不运行的情形下,用杀毒软件查杀,若报警为病毒,阐明存在该查毒软件的文件特点码的.
2.特点码的二种定位办法.
手动定位和自动定位
3.文件特点码的定位本领.

[1] [2] [3] [4] [5] [6] [7] [8]  下一页