免杀的方法

一、免杀的方法

2.特点:非常简单实用,但有时还会被卡巴查杀]

3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可

2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳.

3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后

又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址

2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀.

3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去

填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令的着地址.

1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等.

2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀

3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的免杀效果更佳

【五.打乱壳的头文件或壳中加花免杀法:】

1.用到工具:秘密行动,UPX加壳工具.

2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好

3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款

工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.

1.用到工具:特征码定位器,OllyDbg

2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要达

到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好

特征码修改包括文件特征码修改和内存特征码修改，因为这二种特征码的修改方

法是通用的。所以就对目前流行的特征码修改方法作个总节。

[方法一:直接修改特征码的十六进制法]

1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.

2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下能否正常使用.

1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.

2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.

1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.

2.适用范围:特征码中必需有可以替换的汇编指令.比如JN,JNE换成JMP等.如果和我一样对汇编不懂的可以去查查8080汇编手册.

1.修改方法:把具有特征码的代码顺序互换一下.

2.适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行

1.修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.

2.适用范围:没有什么条件,是通用的改法,强烈建议大家要掌握这种改法.

文件免杀方法：1.加冷门壳 2.加花指令 3.改程序入口点 4.改木马文件特征码的5种常用方法

方法1>直接修改特征码的十六进制法

3.操作步骤：首先给木马加压缩壳然后用OD载入，在入口处的前15句中NOP掉某些代码或者等价代换某些代码

1首先用lordpe打开，目录，导入表找到你要改的函数。比如说CommandLineA

2记下未改前函数的thunkvalue举例：00062922

3将要修改的文件用winhex等16进制形式打开，然后找到该函数的地址，比如说00062988

4将该函数用00填充，移动到新地址如00070000

6将保存后的文件用lordpe打开，打开计算器，选择16进制，00062988-00062922+00070000，计算结果修改为新的thunkvalue。保存

注：公式->内存地址=RAV+RAV基址，RAV基地址可以在LORDPE中看到.输入表函数名前有两个空格所以RAV的地址要减去2

今天定位Drat2.9卡巴特征码，是在输入表上！（这时句废话，现在卡巴基本都杀输入表）

[特征] 00025175_00000001 ZwUnmapViewOfSection他的特征码位置是函数后面的那个00

（这个函数我在开始移动过位置，原始DAT文件的特征码是0002516A_00000001，同样是函数后面的那个00）

我开始是选择C32移动位置，LordPE修改输入表，但是不行，后来试过OD指针移位，还是不行！CALL改JMP都不行

我发现LordPE可以修改函数名称！便用C32将ZwUnmapViewOfSection函数后面加了个字符b（你可以随意加字符）

由于LordPE读取输入表函数是从ThunkValue开始，一直到这个连续的字符串后的00处！

由于在ZwUnmapViewOfSection函数后加了个字符b，现在LordPE读取的此处函数为ZwUnmapViewOfSectionb

此时将ZwUnmapViewOfSectionb函数后面的那个b删除！保存下文件，这时就免杀了！

这样一修改，在文件00025175处的16进制代码不是00，而是62，所以卡巴就过了，而用lardPE修改后函数后，文件的输入表的函数还是ZwUnmapViewOfSection，生成服务端可以运行！

1.加区,加花后,再加密,可以比较容易过卡巴----如加密工具vmprotect

脱壳过的木马---加花指令,或加区加花---加密---加压缩壳---再加区加花指令

2.单单加免杀花指令已经不能过卡巴,一定要配合加花后在加压缩壳,才能起到免杀卡巴的效果.

vmprotect加密----再加花-----可过卡巴:

3.加双层花指令免杀法----免卡巴

4.加密---007内存免----加压---免卡巴或内存.

5.双层加密(maskpE)---加压----可过卡巴.

6.maskpe加密---asppack加壳---改入口点加1---可过卡巴

7.加密maskpe----加花或加区加花(用工具)-----加压缩壳---免卡巴

8.北斗对黑防鸽子可加压二次,再压其它压缩壳.以达免杀.

9.加过北斗壳,向上拉滚开鼠标50多次,有一段空代码,可以加花,转移.

10.去头转移入口点---加花----加密(vmprotect)----加压缩==过所有杀毒

11.对付卡巴,加免杀花指令.花指令对瑞星表面查杀一般无效,一般加压缩壳.

12.对付瑞星表面:有些黑软,加区,加花后被瑞星表面杀,可以这样:先加压过瑞星表面,然后加免杀花指令,过卡巴.

13.过瑞星表面的查杀方法: 1.加北斗内存免杀压缩壳 2.加过瑞星表面的专用加密工具. 3.用maskPE加密工具加密源码免杀，要求楼主必须会编程语言，如C语言，E语言等。可以载入IDA中调试，通过修改源码语句。

二、易语言如何免杀

源码免杀？易语言不被误报就不错了，还免杀呢。源码免杀的话，建议你去学习VC++也可以直接对编译好的exe文件进行免杀，只要你的程序不是什么木马啊后门的，很容易就免杀的，一般的程序随便加下壳改下壳就可以了推荐你几款合适的软件 PE头信息清除器 od c32资源修改器 vmp壳北斗壳。你做的程序如果报的毒是qvm07的话那就是误报了。去网上下个易语言误报处理器就OK了。

三、怎么做免杀越详细越好

1、这样一时半会时说不明白的，我炼紧要的说

2、第一步：你需要一本面纱的书如非安全出版的《反汇编揭露黑客免杀技巧》。进行基础性了解。

3、第二步：了解当下杀毒软件的查杀特点，认识云查杀和特征码查杀以及行为综合查杀等。

4、第三步：了解免杀技术分类：如内部免杀和外部免杀，特征码免杀以及文件免杀等

5、第四步：搭建调试环境，你需要一个虚拟机来测试你的木马免杀效果。如果你觉得不保险，可以在安装冰点还原。（我的网站：google：青扬班第一个即可）

6、第五步：你需要知道PE结构（这是指文件的一般格式）；输入表和输出表；以及什么是程序的壳。

7、第六步：你需要知道什么是汇编和反汇编（即机器语言和高级语言的区别）知道电脑内存基本的寄存器和内存80386寻址原理。和各种汇编命令如jmp，je，xor等

8、第七步：开始免杀。认识你自己的免杀工具如OD,OC,C32等

9、（常见面纱方法有加花免杀，加壳免杀，等价替换指令免杀，跳转面纱，大小写转换免杀，异化算法免杀等等，如果你是玩asp马的，还有脚本免杀）

10、通过修改源代码即可（很好面纱的）这里不说啦

11、如果你有什么不明白请google：青扬班

12、点击第一个网站即可，我们可以交流。