如何木馬免殺
第一步:要想做好木馬的免殺,就一定需要了解殺毒軟件的特點。
木馬的免殺通常來說,有兩種。一個是被動免殺,一個是主動免殺。
所謂被動免殺,就是通過給木馬加殼加花來達到免殺的效果,這種方法很簡單,但是免殺效果不好,
一般只能過表面免殺,而且免殺期很短。
所謂主動免殺,就是通過修改木馬被殺的特征碼來達到免殺的效果,這種方法比較復雜,但是效果很好
灰鴿子木馬怎么免殺?
免殺,也就是反病毒(AntiVirus)與反間諜(AntiSpyware)的對立面,英文為Anti-AntiVirus(簡寫Virus AV),逐字翻譯為“反-反病毒”,翻譯為“反殺毒技術”。免殺分為手工免殺和開源免殺。手工免殺即為特征碼免殺和無特征碼免殺,特征碼免殺就是通過定位找到特征碼然后進行修改達到免殺效果,無特征碼免殺就是通過加殼加花改殼達到免殺效果,但是對于國外的殺軟查殺,一般都是殺在輸入表上,這種時候只能進行無特征碼免殺,對輸入表進行重建和隱藏,手工免殺的免殺時間不長。開源免殺就是得到木馬的源代碼進行修改,通常先進行定位特征碼然后進行修改,當定位到字符串時只要加nop就好,但是對于查殺在查殺注入表的地方就可以進行動態調用,還有什么不明白可以加我QQ810785989
免殺木馬怎么制作
如果你想學習免殺技術:1.基礎的匯編語言 2.修改工具(不指那些傻瓜式軟件).如:
OllyDbg . PEditor. C32ASM . MYCCL復合特征碼定位器.UE .OC. 資源編輯器等.還有一些查殼 脫殼軟件(如:PEID RL脫殼機等) . 以下是常用的幾種免殺方法及工具:一. 要使一個木馬免殺,首先要準備一個不加殼的木馬,這點非常重要,否則
免殺操作就不能進行下去。
二.然后我們要木馬的內存免殺,從上面分析可以看出,目前的內存查殺,只有
瑞星最強,其它殺毒軟件內存查殺現在還不起作用所以我們只針對瑞星的內存查殺
,要進行內存特征碼的定位和修改,才能內存免殺。
二.對符其它的殺毒軟件,比如江民,金山,諾頓,卡巴.我們可以采用下面的方
法,或這些方面的組合使用.1>.入口點加1免殺法.
2>.變化入口地址免殺法
3>.加花指令法免殺法
4>.加殼或加偽裝殼免殺法.
5>.打亂殼的頭文件免殺法.
6>.修改文件特征碼免殺法.
第三部分:免殺技術實例演示部分
一.入口點加1免殺法:
1.用到工具:PEditor
2.特點:非常簡單實用,但有時還會被卡巴查殺.
3.操作要點:用PEditor打開無殼木馬程序,把原入口點加1即可.
二.變化入口地址免殺法:
1.用到工具:OllyDbg,PEditor
2.特點:操作也比較容易,而且免殺效果比入口點加1點要佳.
3.操作要點:用OD載入無殼的木馬程序,把入口點的前二句移到零區域去執行,然后
又跳回到入口點的下面第三句繼續執行.最后用PEditor把入口點改成零區域的地址.
三.加花指令法免殺法:
1.用到工具:OllyDbg,PEditor
2.特點:免殺通用性非常好,加了花指令后,就基本達到大量殺毒軟件的免殺.
3.操作要點:用OD打開無殼的木馬程序,找到零區域,把我們準備好的花指令填進去
填好后又跳回到入口點,保存好后,再用PEditor把入口點改成零區域處填入花指令
的著地址.
四.加殼或加偽裝殼免殺法:
1.用到工具:一些冷門殼,或加偽裝殼的工具,比如木馬彩衣等.
2.特點:操作簡單化,但免殺的時間不長,可能很快被殺,也很難躲過卡巴的追殺.
3.操作要點:為了達到更好的免殺效果可采用多重加殼,或加了殼后在加偽裝殼的
免殺效果更佳.
五.打亂殼的頭文件或殼中加花免殺法:
1.用到工具:秘密行動 ,UPX加殼工具.
2.特點:操作也是傻瓜化,免殺效果也正當不錯,特別對卡巴的免殺效果非常好.
3.操作要點:首先一定要把沒加過殼的木馬程序用UPX加層殼,然后用秘密行動這款
工具中的SCramble功能進行把UPX殼的頭文件打亂,從而達到免殺效果.
六.修改文件特征碼免殺法:
1.用到工具:特征碼定位器,OllyDbg
2.特點:操作較復雜,要定位修改一系列過程,而且只針對每種殺毒軟件的免殺,要
達到多種殺毒軟件的免殺,必需修改各種殺毒軟件的特征碼.但免殺效果好.
3.操作要點:對某種殺毒軟件的特征碼的定位到修改一系列慢長過程.
第四部分:快速定位與修改瑞星內存特征碼
一. 瑞星內存特征碼特點:由于技術原因,目前瑞星的內存特征碼在90%以上把字符
串作為病毒特征碼,這樣對我們的定位和修改帶來了方便.
二定位與修改要點:1>.首先用特征碼定位器大致定位出瑞星內存特征碼位置
2>.然后用UE打開,找到這個大致位置,看看,哪些方面對應的是
字符串,用0替換后再用內存查殺進行查殺.直到找到內存特征
碼后,只要把字符串的大小寫互換就能達到內存免殺效果.
第五部分:木馬免殺綜合方案
修改內存特征碼--->1>入口點加1免殺法---> 1>加壓縮殼--->1>再加殼或多重加殼
2>變化入口地址免殺法 2>加成僻殼 2>加殼的偽裝.
3>加花指令法免殺法 3>打亂殼的頭文件
4>修改文件特征碼免殺法
注:這個方案可以任意組合各種不同的免殺方案.并達到各種不同的免殺效果.
第六部分:免殺方案實例演示部分
1.完全免殺方案一:
內存特征碼修改 + 加UPX殼 + 秘密行動工具打亂UPX殼的頭文件.
2.完全免殺方案二:
內存特征碼修改 + 加壓縮殼 + 加殼的偽裝
3.完全免殺方案三:
內存特征碼修改 + 修改各種殺毒軟件的文件特征碼 + 加壓縮殼
4.完全免殺方案四:
內存特征碼修改 + 加花指令 + 加壓殼
5.完全變態免殺方案五:
內存特征碼修改 + 加花指令 + 入口點加1 + 加壓縮殼UPX + 打亂殼的頭文件
還有其它免殺方案可根據第五部分任意組合.
木馬做免殺都要用到哪些工具啊?
要看你做怎樣的免殺,如果要過表面,用幾個簡單的花指令添加、壓縮殼就可以了。如果要過主動,需要用到特征碼定位工具MYCCL,修改工具C32ASM、OLLYDBG。首先要進行特征碼定位,然后用C32ASM查找特征區塊,進行匯編,過主動的工具就這些。過表面的工具就比較多了,百度都可以搜索到,并且可以下載,比如:大名鼎鼎的ASPROTECT、免疫007、紫迪捆綁器、暗組免殺捆綁器、怒劍狂花(花指令添加器)、還有我們系統自帶的iexpress等等。以上就是答案了,希望樓主采納!
apk木馬怎么免殺!求幫忙!
免殺,顧名思義就是說避免被殺毒軟件查殺!
免殺的方法也有很多種,針對不同的情況我們運用不同的免殺方法。
⒈文件免殺:加花/修改文件特征碼/加殼/修改加殼后的文件。
⒉內存免殺:修改特征碼。
⒊行為免殺。
現在我來揭開免殺神秘的面紗。(這里不對免殺做深入討論,只對原理進行分析,畢竟這不是黑客教程)
加花
加花是病毒免殺的常用手段,加花原理就是通過添加加花指令(一些垃圾指令,類似加1減1之類的無用語句)讓殺毒軟件檢測不到特征碼。加花可以分為加區加花和去頭加花。(只做了解,不做解釋)
特征碼修改
加花以后一些殺毒軟件就認不出來了,但有些比較強的殺毒軟件,像卡巴斯基這類,可能還是會被殺,這時就要定位特征碼修改了,要修改特征碼,就要先定位殺毒軟件的病毒庫所定位的特征碼,這個有一定難度,特別是復合特征碼的定位,但復合特征碼雖然增加了定位特征碼的難度,但復合特征碼也有它的弱點,因為定義復合特征碼需要單個特征碼幾倍的病毒庫,不方便用戶的病毒庫升級,所以除了特別流行的病毒,殺毒軟件廠商并沒有做太多的復合特征碼。
定位了特征碼之后就應該修改特征碼了,主要方法有兩種:直接修改法,跳轉修改法。
直接修改法利用的是等效指令替換,或者指令順序的改變不影響執行的效果。還有一種是如果特征碼是ASCll碼,可以直接修改大小寫,大寫替換小寫,小寫替換大寫。
跳轉修改發比較簡單,主要原理是把有特征碼的那段NOP掉,然后把NOP掉的那段語句寫入空白的0000區,在通過JMP跳轉連接起來,讓殺毒軟件找不到特征碼,從而達到免殺的目的。
加殼
加殼的原理是給原程序加上一段保護程序,有保護和加密功能,運行加殼后的文件先運行殼再運行真實文件,從而起到保護作用。
脫殼當然就是去掉保護程序
想要加殼后能達到免殺的效果
那就要加最新的免殺殼!!!!
要采納哈。
