免殺的方法
1.用到工具PEditor
2.特點:非常簡單實用,但有時還會被卡巴查殺]
3.操作要點:用PEditor打開無殼木馬程序,把原入口點加1即可
二.變化入口地址免殺法:
1.用到工具:OllyDbg,PEditor
2.特點:操作也比較容易,而且免殺效果比入口點加1點要佳.
3.操作要點:用OD載入無殼的木馬程序,把入口點的前二句移到零區域去執行,然後
又跳回到入口點的下面第三句繼續執行.最後用PEditor把入口點改成零區域的地址
三.加花指令法免殺法:
1.用到工具:OllyDbg,PEditor
2.特點:免殺通用性非常好,加了花指令後,就基本達到大量殺毒軟件的免殺.
3.操作要點:用OD打開無殼的木馬程序,找到零區域,把我們準備好的花指令填進去
填好後又跳回到入口點,保存好後,再用PEditor把入口點改成零區域處填入花指令的著地址.
四.加殼或加偽裝殼免殺法:
1.用到工具:壹些冷門殼,或加偽裝殼的工具,比如木馬彩衣等.
2.特點:操作簡單化,但免殺的時間不長,可能很快被殺,也很難躲過卡巴的追殺
3.操作要點:為了達到更好的免殺效果可采用多重加殼,或加了殼後在加偽裝殼的免殺效果更佳
五.打亂殼的頭文件或殼中加花免殺法:
1.用到工具:秘密行動 ,UPX加殼工具.
2.特點:操作也是傻瓜化,免殺效果也正當不錯,特別對卡巴的免殺效果非常好
3.操作要點:首先壹定要把沒加過殼的木馬程序用UPX加層殼,然後用秘密行動這款
工具中的SCramble功能進行把UPX殼的頭文件打亂,從而達到免殺效果.
六.修改文件特征碼免殺法:
1.用到工具:特征碼定位器,OllyDbg
2.特點:操作較復雜,要定位修改壹系列過程,而且只針對每種殺毒軟件的免殺,要達
到多種殺毒軟件的免殺,必需修改各種殺毒軟件的特征碼.但免殺效果好
[特征碼修改方法]
特征碼修改包括文件特征碼修改和內存特征碼修改,因為這二種特征碼的修改方
法是通用的。所以就對目前流行的特征碼修改方法作個總節。
[方法壹:直接修改特征碼的十六進制法]
1.修改方法:把特征碼所對應的十六進制改成數字差1或差不多的十六進制.
2.適用範圍:壹定要精確定位特征碼所對應的十六進制,修改後壹定要測試壹下能否正常使用.
[方法二:修改字符串大小寫法]
1.修改方法:把特征碼所對應的內容是字符串的,只要把大小字互換壹下就可以了.
2.適用範圍:特征碼所對應的內容必需是字符串,否則不能成功.
[方法三:等價替換法]
1.修改方法:把特征碼所對應的匯編指令命令中替換成功能類擬的指令.
2.適用範圍:特征碼中必需有可以替換的匯編指令.比如JN,JNE 換成JMP等.如果和我壹樣對匯編不懂的可以去查查8080匯編手冊.
[方法四:指令順序調換法]
1.修改方法:把具有特征碼的代碼順序互換壹下.
2.適用範圍:具有壹定的局限性,代碼互換後要不能影響程序的正常執行
[方法五:通用跳轉法]
1.修改方法:把特征碼移到零區域(指代碼的空隙處),然後壹個JMP又跳回來執行.
2.適用範圍:沒有什麽條件,是通用的改法,強烈建議大家要掌握這種改法.
木馬免殺的綜合修改方法
文件免殺方法:1.加冷門殼 2.加花指令 3.改程序入口點 4.改木馬文件特征碼的5種常用方法
5.還有其它的幾種免殺修改技巧
七.內存免殺方法:
修改內存特征碼:
方法1>直接修改特征碼的十六進制法
方法2>修改字符串大小寫法
方法3>等價替換法
方法4>指令順序調換法
方法5>通用跳轉法
殼入口修改法
1.用到工具:壓縮殼 OD
2.特點:操作簡單 免殺效果好
3.操作步驟:首先給木馬加壓縮殼 然後用OD載入,在入口處的前15句中NOP掉某些代碼或者等價代換某些代碼
八.輸入表免殺方法:
[壹,移位法]
1 首先用lordpe打開,目錄,導入表找到妳要改的函數。比如說CommandLineA
2 記下未改前函數的thunkvalue 舉例:00062922
3 將要修改的文件用winhex等16進制形式打開,然後找到該函數的地址,比如說00062988
4 將該函數用00填充,移動到新地址如00070000
5 保存
6 將保存後的文件用lordpe打開,打開計算器,選擇16進制,00062988-00062922+00070000,計算結果修改為新的thunkvalue。保存
註:公式-> 內存地址=RAV+RAV基址 ,RAV基地址可以在LORDPE中看到.輸入表函數名前有兩個空格所以RAV的地址要減去2
[二,修改字符法]
今天定位Drat2.9卡巴特征碼,是在輸入表上!(這時句廢話,現在卡巴基本都殺輸入表)
[特征] 00025175_00000001 ZwUnmapViewOfSection 他的特征碼位置是函數後面的那個00
(這個函數我在開始移動過位置,原始DAT文件的特征碼是0002516A_00000001,同樣是函數後面的那個00)
我開始是選擇C32移動位置,LordPE修改輸入表,但是不行,後來試過OD指針移位,還是不行!CALL改JMP都不行
我發現LordPE可以修改函數名稱!便用C32將ZwUnmapViewOfSection函數後面加了個字符b(妳可以隨意加字符)
由於LordPE讀取輸入表函數是從ThunkValue開始,壹直到這個連續的字符串後的00處!
由於在ZwUnmapViewOfSection函數後加了個字符b,現在LordPE讀取的此處函數為ZwUnmapViewOfSectionb
此時將ZwUnmapViewOfSectionb函數後面的那個b刪除!保存下文件,這時就免殺了!
這樣壹修改,在文件00025175處的16進制代碼不是00,而是62,所以卡巴就過了,而用lardPE修改後函數後,文件的輸入表的函數還是ZwUnmapViewOfSection,生成服務端可以運行!
免殺經驗:
1.加區,加花後,再加密,可以比較容易過卡巴----如加密工具vmprotect
脫殼過的木馬---加花指令,或加區加花---加密---加壓縮殼---再加區加花指令
2.單單加免殺花指令已經不能過卡巴,壹定要配合加花後在加壓縮殼,才能起到免殺卡巴的效果.
vmprotect加密----再加花-----可過卡巴:
3.加雙層花指令免殺法----免卡巴
4.加密---007內存免----加壓 ---免卡巴或內存.
5.雙層加密(maskpE)---加壓 ----可過卡巴.
6.maskpe加密---asppack加殼 ---改入口點加1---可過卡巴
7.加密maskpe----加花或加區加花(用工具)-----加壓縮殼---免卡巴
8.北鬥對黑防鴿子可加壓二次,再壓其它壓縮殼.以達免殺.
9.加過北鬥殼,向上拉滾開鼠標50多次,有壹段空代碼,可以加花,轉移.
10.去頭轉移入口點---加花----加密(vmprotect) ----加壓縮==過所有殺毒
11.對付卡巴,加免殺花指令.花指令對瑞星表面查殺壹般無效,壹般加壓縮殼.
12.對付瑞星表面: 有些黑軟,加區,加花後被瑞星表面殺,可以這樣:先加壓過瑞星表面,然後加免殺花指令,過卡巴.
13.過瑞星表面的查殺方法: 1.加北鬥內存免殺壓縮殼 2.加過瑞星表面的專用加密工具. 3.用maskPE加密工具加密 源碼免殺,要求樓主必須會編程語言,如C語言,E語言等。可以載入IDA中調試,通過修改源碼語句。