黑客談免殺簡單分析特征碼修改技術

發布時間: 2012/7/4 14:30:10

如果你想學習免殺技術：
1.基礎的匯編語言

2.修改工具(不指那些傻瓜式軟件)。如：

OllyDbg . PEditor. C32ASM . MYCCL復合特征碼定位器。UE .OC. 資源編輯器等。還有一些查殼脫殼軟件(如：PEID RL脫殼機等) . 以下是常用的幾種免殺方法及工具：

一、要使一個木馬免殺

首先要準備一個不加殼的木馬，這點非常重要，否則免殺操作就不能進行下去。然后我們要木馬的內存免殺，從上面分析可以看出，目前的內存查殺，只有瑞星最強，其它殺毒軟件內存查殺現在還不起作用所以我們只針對瑞星的內存查殺，要進行內存特征碼的定位和修改，才能內存免殺。

二、對符其它的殺毒軟件

比如江民，金山，諾頓，卡巴。我們可以采用下面的方法，或這些方面的組合使用。

1>.入口點加1免殺法。

2>.變化入口地址免殺法

3>.加花指令法免殺法

4>.加殼或加偽裝殼免殺法。

5>.打亂殼的頭文件免殺法。

6>.修改文件特征碼免殺法。

第三部分：免殺技術實例演示部分

一、入口點加1免殺法：

1.用到工具：PEditor

2.特點：非常簡單實用，但有時還會被卡巴查殺。

3.操作要點：用PEditor打開無殼木馬程序，把原入口點加1即可。

二、變化入口地址免殺法：

1.用到工具：OllyDbg，PEditor

2.特點：操作也比較容易，而且免殺效果比入口點加1點要佳。

3.操作要點：用OD載入無殼的木馬程序，把入口點的前二句移到零區域去執行，然后又跳回到入口點的下面第三句繼續執行。最后用PEditor把入口點改成零區域的地址。

三、加花指令法免殺法：

1.用到工具：OllyDbg，PEditor

2.特點：免殺通用性非常好，加了花指令后，就基本達到大量殺毒軟件的免殺。

3.操作要點：用OD打開無殼的木馬程序，找到零區域，把我們準備好的花指令填進去填好后又跳回到入口點，保存好后，再用PEditor把入口點改成零區域處填入花指令的著地址。

四、加殼或加偽裝殼免殺法：

1.用到工具：一些冷門殼，或加偽裝殼的工具，比如木馬彩衣等。

2.特點：操作簡單化，但免殺的時間不長，可能很快被殺，也很難躲過卡巴的追殺。

3.操作要點：為了達到更好的免殺效果可采用多重加殼，或加了殼后在加偽裝殼的免殺效果更佳。五、打亂殼的頭文件或殼中加花免殺法：

1.用到工具：秘密行動，UPX加殼工具。

2.特點：操作也是傻瓜化，免殺效果也正當不錯，特別對卡巴的免殺效果非常好。

3.操作要點：首先一定要把沒加過殼的木馬程序用UPX加層殼，然后用秘密行動這款工具中的SCramble功能進行把UPX殼的頭文件打亂，從而達到免殺效果。

六、修改文件特征碼免殺法：

1.用到工具：特征碼定位器，OllyDbg

2.特點：操作較復雜，要定位修改一系列過程，而且只針對每種殺毒軟件的免殺，要達到多種殺毒軟件的免殺，必需修改各種殺毒軟件的特征碼。但免殺效果好。

3.操作要點：對某種殺毒軟件的特征碼的定位到修改一系列慢長過程。

第四部分：快速定位與修改瑞星內存特征碼

一、瑞星內存特征碼特點：由于技術原因，目前瑞星的內存特征碼在90%以上把字符串作為病毒特征碼，這樣對我們的定位和修改帶來了方便。

二定位與修改要點：

1>.首先用特征碼定位器大致定位出瑞星內存特征碼位置

2>.然后用UE打開，找到這個大致位置，看看，哪些方面對應的是字符串，用0替換后再用內存查殺進行查殺。直到找到內存特征碼后，只要把字符串的大小寫互換就能達到內存免殺效果。

第五部分：木馬免殺綜合方案

修改內存特征碼——>1>入口點加1免殺法——> 1>加壓縮殼——>1>再加殼或多重加殼

2>變化入口地址免殺法 2>加成僻殼 2>加殼的偽裝。

3>加花指令法免殺法 3>打亂殼的頭文件

4>修改文件特征碼免殺法

注：這個方案可以任意組合各種不同的免殺方案。并達到各種不同的免殺效果。

第六部分：免殺方案實例演示部分

1.完全免殺方案一：

內存特征碼修改 + 加UPX殼 + 秘密行動工具打亂UPX殼的頭文件。

本文出自：億恩科技【www.endtimedelusion.com】

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]

服務器租用

服務器托管

機柜批發

云服務器

建站俠

空間/域名

安全保姆

幫助類別

幫助中心

文章內容

黑客談免殺簡單分析特征碼修改技術

同類文章

億恩公告

在線客服

黑客談免殺 簡單分析特征碼修改技術

億恩公告

在線客服

黑客談免殺簡單分析特征碼修改技術