木马免杀

时间:2024-06-11 18:22:59编辑:分享君

如何让木马达到免杀效果

现在的杀毒软件对任何病毒的查杀,都是建立在拥有该病毒的特征码的基础上的。黑客为了让木马程序不被杀毒软件查杀,会通过各种方法对它进行修改或伪装,也就是进行免杀处理。目前常见的免杀方法有加壳、加花(指令)、修改特征码、变换入口点、入口点加密等。同时当前主流的杀毒软件都采用了复合特征码,因此很多时候通过一种方法很难达到免杀效果,这时需要几种方法配合才能起到免杀效果。 实战程序免杀 一、免杀从程序内部开始 准备好我们要免杀的黑客程序。首先进行加密处理,运行加密程序MaskPE,它是一款自动修改PE文件的软件,可以将程序原有的源代码打乱,这样就能生成免杀的木马或病毒。 点击“Load File”按钮选择免杀程序,在“Select Information”列表中任意选择一项,最后点击“Make File”按钮,在弹出的窗口中对加密的文件进行另存即可。 二、花指令迷惑杀毒软件 运行“超级加花器”,这是一款全新的加花程序。首先将服务端程序直接拖动到程序的主界面进行释放,接着在“花指令”下拉列表中选择一种花指令,单击“加花”按钮后就可以了。这样,一段花指令就被成功地添加到黑客程序代码的最前面,那些从文件头提取特征码的杀毒软件也就无能为力了。 三、加壳阻止杀毒软件分析 然后进行加壳处理,这样可以阻止杀毒软件将获取的源代码和特征码进行比对。运行Private exe Protector这款加壳程序,在出现的“应用程序”列表中设置需要免杀的黑客程序。再将下面“设置”选项中将“动态保护”勾选上,最后点击工具栏中的“开始保护”按钮即可马上进行加壳处理。 四、改入口点防特征码对比 最后进行更改入口点的处理,它的目的和加壳处理相似,就是让杀毒软件无法从黑客程序的入口点来获取源代码。运行PEditor这款软件修改程序,点击“浏览”按钮选择黑客程序,找到“入口点”这个信息选项,接着在原来的数值的基础上加上1,接着点击“应用更改”按钮就可以完成刚才的设置确认。 当黑客程序进行完免杀处理以后,首先要使用多款杀毒软件对它进行杀毒检测,没有安装杀毒软件的用户也可以通过一个多引擎样本查毒网站进行检测。 如果已经不被杀毒软件所查杀了,还要在本地测试经过免杀处理后的程序是否能正常的运行。只有进行了这一系列测试以后,才能确定该黑客程序是否免杀成功。


杀毒软件是如何识别免杀木马的?

你好:
如果一般普通的编程员编写的病毒,一般是采用一些恶意代码的,这些恶意代码已经被杀毒软件列入黑名单,所以很快给杀毒软件查出。
如果杀毒软件没有发现某病毒的话,在搜索的时候,当搜索到病毒时,他不会报有病毒(因为病毒库没有资料),但是发现程序行为可疑,所以就会将他上传,然后等待分析,中国著名的“云查杀”也是这个道理。
其实杀毒软件查杀就是在一个虚拟的环境中,快速和关闭一个文件,然后观察文件的行为,然后再对照病毒库,从而得到了结论。


制作木马免杀的具体步骤

一.花指令相关知识:
其实是一段垃圾代码,和一些乱跳转,但并不影响程序的正常运行。加了花指令后,使一些杀毒软件无法正确识别木马程序,从而达到免杀的效果。

二.加花指令使木马免杀制作过程详解:
第一步:配置一个不加壳的木马程序。
第二步:用OD载入这个木马程序,同时记下入口点的内存地址。
第三步:向下拉滚动条,找到零区域(也就是可以插入代码的都是0的空白地方)。并记下零区域的起始内存地址。
第四步:从这个零区域的起始地址开始一句一句的写入我们准备好的花指令代码。
第五步:花指令写完后,在花指令的结束位置加一句:JMP 刚才OD载入时的入口点内存地址。
第六步:保存修改结果后,最后用PEditor这款工具打开这个改过后的木马程序。在入口点处把原来的入口地址改成刚才记下的零区域的起始内存地址,并按应用更改。使更改生效。

三.加花指令免杀技术总节:
1.优点:通用性非常不错,一般一个木马程序加入花指令后,就可以躲大部分的杀毒软件,不像改特征码,只能躲过某一种杀毒软件。
2.缺点:这种方法还是不能过具有内存查杀的杀毒软件,比如瑞星内存查杀等。
3.以后将加花指令与改入口点,加壳,改特征码这几种方法结合起来混合使用效果将非常不错。
四.加花指令免杀要点:
由于黑客网站公布的花指令过不了一段时间就会被杀软辨认出来,所以需要你自己去搜集一些不常用的花指令,另外目前还有几款软件可以自动帮你加花,方便一些不熟悉的朋友,例如花指令添加器等。

五.常见花指令代码
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
1。 VC++ 5.0
PUSH EBP
MOV EBP,ESP
PUSH -1
push 515448
PUSH 6021A8
MOV EAX,DWORD PTR FS:[0]
PUSH EAX
MOV DWORD PTR FS:[0],ESP
ADD ESP,-6C
PUSH EBX
PUSH ESI
PUSH EDI
jmp 跳转到程序原来的入口点
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
2。c ++
push ebp
mov ebp,esp
push -1
push 111111
push 222222
mov eax,fs:[0]
push eax
mov fs:[0],esp
pop eax
mov fs:[0],eax
pop eax
pop eax
pop eax
pop eax
mov ebp,eax
jmp 跳转到程序原来的入口点


木马怎么做免杀,会的写详细点?本人菜鸟!

如果你想学习免杀技术:1.基础的汇编语言 2.修改工具(不指那些傻瓜式软件).如:
OllyDbg . PEditor. C32ASM . MYCCL复合特征码定位器.UE .OC. 资源编辑器等.还有一些查壳 脱壳软件(如:PEID RL脱壳机等) . 以下是常用的几种免杀方法及工具:一. 要使一个木马免杀,首先要准备一个不加壳的木马,这点非常重要,否则

免杀操作就不能进行下去。

二.然后我们要木马的内存免杀,从上面分析可以看出,目前的内存查杀,只有

瑞星最强,其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀

,要进行内存特征码的定位和修改,才能内存免杀。

二.对符其它的杀毒软件,比如江民,金山,诺顿,卡巴.我们可以采用下面的方

法,或这些方面的组合使用.1>.入口点加1免杀法.

2>.变化入口地址免杀法
3>.加花指令法免杀法

4>.加壳或加伪装壳免杀法.

5>.打乱壳的头文件免杀法.

6>.修改文件特征码免杀法.



第三部分:免杀技术实例演示部分



一.入口点加1免杀法:

1.用到工具:PEditor

2.特点:非常简单实用,但有时还会被卡巴查杀.

3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可.


二.变化入口地址免杀法:

1.用到工具:OllyDbg,PEditor

2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳.

3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后

又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址.

三.加花指令法免杀法:

1.用到工具:OllyDbg,PEditor

2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀.

3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去

填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令

的着地址.


四.加壳或加伪装壳免杀法:



1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等.

2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀.

3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的

免杀效果更佳.


五.打乱壳的头文件或壳中加花免杀法:

1.用到工具:秘密行动 ,UPX加壳工具.

2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好.

3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款

工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.


六.修改文件特征码免杀法:


1.用到工具:特征码定位器,OllyDbg

2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要

达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好.

3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程.



第四部分:快速定位与修改瑞星内存特征码

一. 瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符

串作为病毒特征码,这样对我们的定位和修改带来了方便.


二定位与修改要点:1>.首先用特征码定位器大致定位出瑞星内存特征码位置

2>.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是

字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征

码后,只要把字符串的大小写互换就能达到内存免杀效果.



第五部分:木马免杀综合方案


修改内存特征码--->1>入口点加1免杀法---> 1>加压缩壳--->1>再加壳或多重加壳

2>变化入口地址免杀法 2>加成僻壳 2>加壳的伪装.
3>加花指令法免杀法 3>打乱壳的头文件

4>修改文件特征码免杀法


注:这个方案可以任意组合各种不同的免杀方案.并达到各种不同的免杀效果.


第六部分:免杀方案实例演示部分


1.完全免杀方案一:

内存特征码修改 + 加UPX壳 + 秘密行动工具打乱UPX壳的头文件.


2.完全免杀方案二:

内存特征码修改 + 加压缩壳 + 加壳的伪装


3.完全免杀方案三:

内存特征码修改 + 修改各种杀毒软件的文件特征码 + 加压缩壳


4.完全免杀方案四:

内存特征码修改 + 加花指令 + 加压壳


5.完全变态免杀方案五:

内存特征码修改 + 加花指令 + 入口点加1 + 加压缩壳UPX + 打乱壳的头文件

还有其它免杀方案可根据第五部分任意组合.


预处理常用的方法有哪些?

一、混凝-絮凝混凝是指向水中投加一定剂量的化学药剂,这些化学药剂在水中发生水解,和水中的胶体粒子互相碰撞,发生电性中和,产生吸附、架桥和网捕作用,从而形成大的絮体颗粒,并从水中沉降,起到了降低颗粒悬浮物和胶体的作用。二、介质过滤介质过滤是指以石英砂或无烟煤等为介质,使水在重力或压力下通过由这些介质构成的床层,而水中的的颗粒污染物质则被介质阻截,从而达到与水分离的过程。粒状介质过滤基于“过滤-澄清”的工作过程去除水中的颗粒、悬浮物和胶体。工业水处理在工业用水处理中,预处理工序的任务是将工业用水的水源——地表水、地下水或城市自来水处理到符合后续水处理装置所允许的进水水质指标,从而保证水处理系统长期安全、稳定地运行,为工业生产提供优质用水。预处理的对象主要是水中的悬浮物、胶体、微生物、有机物、游离性余氯和重金属等。这些杂质对于电渗析、离子交换、反渗透、钠滤等水处理装置会产生不利的影响。

如何让能让木马免杀,用哪些工具,原理是什么.使用工具的顺序能不能打乱?

您好1,所谓木马免杀,就是可以通过杀毒软件,让杀毒软件检测不出来,这个具体就不能说了,制作木马病毒是不法行为,建议您不要去学习。2,其实现在普通的免杀技术已经无法越过杀毒软件了。3,例如腾讯电脑管家,你可以到电脑管家官网下载。它自主研发了管家第二代反病毒查杀引擎,对于这种伪装木马。加壳木马都有很好的查杀效果,不信你安装一个试试就知道了。如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问,我们将尽全力为您解答疑难

中了免杀木马怎么清除

可以重启电脑按F8进入安全模式下,使用腾讯电脑管家杀毒软件,全面的查杀病毒程序,总计四大反病毒引擎:腾讯电脑管家云引擎、金山云查杀、小红伞本地查杀引擎、趋势本地引擎,也就是说腾讯电脑管家电脑管家除了自家的云查杀引擎,还应用了国外两大品牌的本地查杀引擎,有力的保障了对病毒的精准查杀!!可以彻底的清理干净病毒木马程序!!


怎么样能让病毒免杀??

免杀就是把PE文件修改特征,让杀毒软件的病毒库认不出,我们常说的木马免杀,就是让木马或病毒通过修改躲过杀软查杀,让用户不发现。但杀软报毒不一定是病毒,像扫描工具,所有大型网站做免杀只是为了不带病毒体的文件避免杀软误杀
如果你想学习免杀技术:1.基础的汇编语言 2.修改工具(不指那些傻瓜式软件).如:
OllyDbg . PEditor. C32ASM . MYCCL复合特征码定位器.UE .OC. 资源编辑器等.还有一些查壳 脱壳软件(如:PEID RL脱壳机等) . 以下是常用的几种免杀方法及工具:一. 要使一个木马免杀,首先要准备一个不加壳的木马,这点非常重要,否则

免杀操作就不能进行下去。

二.然后我们要木马的内存免杀,从上面分析可以看出,目前的内存查杀,只有

瑞星最强,其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀

,要进行内存特征码的定位和修改,才能内存免杀。

二.对符其它的杀毒软件,比如江民,金山,诺顿,卡巴.我们可以采用下面的方

法,或这些方面的组合使用.1>.入口点加1免杀法.

2>.变化入口地址免杀法
3>.加花指令法免杀法

4>.加壳或加伪装壳免杀法.

5>.打乱壳的头文件免杀法.

6>.修改文件特征码免杀法.



第三部分:免杀技术实例演示部分



一.入口点加1免杀法:

1.用到工具:PEditor

2.特点:非常简单实用,但有时还会被卡巴查杀.

3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可.


二.变化入口地址免杀法:

1.用到工具:OllyDbg,PEditor

2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳.

3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后

又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址.

三.加花指令法免杀法:

1.用到工具:OllyDbg,PEditor

2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀.

3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去

填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令

的着地址.


四.加壳或加伪装壳免杀法:



1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等.

2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀.

3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的

免杀效果更佳.


五.打乱壳的头文件或壳中加花免杀法:

1.用到工具:秘密行动 ,UPX加壳工具.

2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好.

3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款

工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.


六.修改文件特征码免杀法:


1.用到工具:特征码定位器,OllyDbg

2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要

达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好.

3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程.



第四部分:快速定位与修改瑞星内存特征码

一. 瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符

串作为病毒特征码,这样对我们的定位和修改带来了方便.


二定位与修改要点:1>.首先用特征码定位器大致定位出瑞星内存特征码位置

2>.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是

字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征

码后,只要把字符串的大小写互换就能达到内存免杀效果.



第五部分:木马免杀综合方案


修改内存特征码--->1>入口点加1免杀法---> 1>加压缩壳--->1>再加壳或多重加壳

2>变化入口地址免杀法 2>加成僻壳 2>加壳的伪装.
3>加花指令法免杀法 3>打乱壳的头文件

4>修改文件特征码免杀法


注:这个方案可以任意组合各种不同的免杀方案.并达到各种不同的免杀效果.


第六部分:免杀方案实例演示部分


1.完全免杀方案一:

内存特征码修改 + 加UPX壳 + 秘密行动工具打乱UPX壳的头文件.


2.完全免杀方案二:

内存特征码修改 + 加压缩壳 + 加壳的伪装


3.完全免杀方案三:

内存特征码修改 + 修改各种杀毒软件的文件特征码 + 加压缩壳


4.完全免杀方案四:

内存特征码修改 + 加花指令 + 加压壳


5.完全变态免杀方案五:

内存特征码修改 + 加花指令 + 入口点加1 + 加压缩壳UPX + 打乱壳的头文件

还有其它免杀方案可根据第五部分任意组合.


上一篇:rtc

下一篇:远传压力表