免杀入门.doc

假如你想学习免杀技术:
第一部分:基础的汇编语言
第二部分:修改工具(不指那些傻瓜式软件)。如:
OllyDbg . PEditor. C32ASM . L复合特征码定位器。UE .OC. 资源编辑器等。还有一些查壳脱壳软件(如:PEID RL脱壳机等) . 以下是常用的几种免杀方法及工具:
一、要使一个木马免杀
首先要预备一个不加壳的木马,这点非常重要,否则免杀操作就不能进行下去。然后我们要木马的内存免杀,从上面分析可以看出,目前的内存查杀,只有瑞星最强,其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀,要进行内存特征码的定位和修改,才能内存免杀。
二、对符其它的杀毒软件
比如江民,金山,诺顿,卡巴。我们可以采用下面的方法,或这些方面的组合使用。
1>.入口点加1免杀法。
2>.变化入口地址免杀法
3>.加花指令法免杀法
4>.加壳或加伪装壳免杀法。
5>.打乱壳的头文件免杀法。
6>.修改文件特征码免杀法。
第三部分:免杀技术实例演示部分
一、入口点加1免杀法:
:PEditor
:非常简单实用,但有时还会被卡巴查杀。
:用PEditor打开无壳木马程序,把原入口点加1即可。
二、变化入口地址免杀法:
:OllyDbg,PEditor
:操作也比较轻易,而且免杀效果比入口点加1点要佳。
:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后又跳回到入口点的下面第三句继续执行。最后用PEditor把入口点改成零区域的地址。
三、加花指令法免杀法:
:OllyDbg,PEditor
:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀。
:用OD打开无壳的木马程序,找到零区域,把我们预备好的花指令填进去填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令的着地址。
四、加壳或加伪装壳免杀法:
:一些冷门壳,或加伪装壳的工具,比如木马彩衣等。
:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀。
:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的免杀效果更佳。
五、打乱壳的头文件或壳中加花免杀法:
:秘密行动,UPX加壳工具。
:操作也是傻瓜化,免杀效果也正当不错,非凡对卡巴的免杀效果非常好。
:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果。
六、修改文件特征码免杀法:
:特征码定位器,OllyDbg
:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码。但免杀效果好。
:对某种杀毒软件的特征码的定位到修改一系列慢长过程。
第四部分:快速定位与修改瑞星内存特征码
一、瑞星内存特征码特点:由于技