免杀全教程【请勿用于非法】.doc

木马精华免杀教程 教程来自【暗黑网络】暗黑网络技术公会让更多的朋友了解黑客-YY496342 本公会采用YY方式是让您更加方便的交流和学习，本公会，免费赠送工具，教程，等一切免费，大量招收导师如果觉得你行那就来试试吧YY496342 本公会+此文档只是让大家多一点防范的意识请勿用于非法 　　　　　　　　　　　第一部分：对国内外杀毒软件分析 　 　　在讲特征码前，先要分析国内外著名杀毒软件的查杀特点。 大家在使用木马过程都会发现，内存查杀，一般都指得被瑞星的内存查杀。瑞星 的内存查杀功能是同类杀毒软件中最强的一款杀毒软件。像强悍的卡巴，金山， 等等它们的内存查杀意义不大,会制作免杀木马的人都知道,像这类杀毒软件,只要 文件免杀,内存也就免杀了.还有江民也有内存查杀功能,但内存查杀功能比较弱.只 针对影响力非常大的病毒程序.一般的黑客软件都没有提取内存特征码. 　　　　　　　　　　　第二部分：木马免杀的对策 　一.　要使一个木马免杀，首先要准备一个不加壳的木马，这点非常重要，否则 下面的免杀操作就不能进行下去。 　二.然后我们要木马的内存免杀，从上面分析可以看出，目前的内存查杀，只有 瑞星最强，其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀 ，要进行内存特征码的定位和修改，才能达到内存免杀。 　二.对符其它的杀毒软件，比如江民，金山，诺顿,卡巴.我们可以采用下面的方 法,或这些方面的组合使用.1>.入口点加1免杀法.                         2>.变化入口地址免杀法                                                                                                 3>.加花指令法免杀法                         4>.加壳或加伪装壳免杀法.                         5>.打乱壳的头文件免杀法.                         6>.修改文件特征码免杀法.                      第三部分:免杀技术实例演示部分    一.入口点加1免杀法:(NC)  1.用到工具:PEditor  2.特点:非常简单实用,但有时还会被卡巴查杀.  3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可.  二.变化入口地址免杀法:(NC)  1.用到工具:OllyDbg,PEditor  2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳.  3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后 又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址.  三.加花指令法免杀法:(Sniff)  1.用到工具:OllyDbg,PEditor  2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀.  3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去 填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令 的着地址.  四.加壳或加伪装壳免杀法:(findpass)  1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等.  2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀.  3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的 免杀效果更佳.  五.打乱壳的头文件免杀法:(nc)  1.用到工具:秘密行动 ,UPX加壳工具.  2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好.  3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款 工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.  六.修改文件特征码免杀法:  1.用到工具:特征码定位器,OllyDbg  2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要 达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好.  3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程.                    第四部分:快速定位与修改瑞星内存特征码 一.　瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符 串作为病毒特征码,这样对我们的定位和修改带来了方便. 二定位与修改要点:1>.首先用特征码定位器大致定位出瑞星内存特征码位置                  2>.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是                    字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征                    码后,只要把字符串的大小写互换就能达到内存免杀效果.                   第五部分:木马免杀综合方案 修改内存特征码--->1>入口点加1免杀法---> 1>加压缩壳--->1>再加壳或多重加壳                   2>变化入口地址免杀法  2>加生僻壳    2>加壳的伪装.                                                                                            3>加花指令法免杀法                  3>打乱壳的头文件                   4>修改文件特征码免杀法 注:这个方案可以任意组合各种不同的免杀方案.并达到各种不同的免杀效果.                第六部分:免杀方案实例演示部分  1.完全免杀方案一:(灰鸽子VIP2.0)     内存特征码修改 + 加UPX壳 + 秘密行动工具打乱UPX壳的头文件.  2.完全免杀方案二:(findpass)    内存特征码修改 + 加压缩壳 + 加壳的伪装  3.完全免杀方案三:    内存特征码修改 + 修改各种杀毒软件的文件特征码 + 加压缩壳  4.完全免杀方案四:   内存特征码修改 + 加花指令 + 加压缩壳  5.完全变态免杀方案五:  内存特征码修改 + 加花指令 + 入口点加1 + 加压缩壳UPX + 打乱壳的头文件   还有其它免杀方案可根据第五部分任意组合. 暗黑网络YY496342