当前位置:新闻详细
专业互联网培训机构——完成蜕变以后轻松拿高薪
电话+V: 152079-09430 ,欢迎咨询免杀木马源代码,[python实用课程],[C++单片机原理],[C#、PHP网站搭建],[Nodejs小程序开发],[ios游戏开发],[安卓游戏开发],[教会用大脑用想法赚钱实现阶层跨越]
一、如何让木马达到免杀效果
现在的杀毒软件对任何病毒的查杀,都是建立在拥有该病毒的特征码的基础上的。黑客为了让木马程序不被杀毒软件查杀,会通过各种方法对它进行修改或伪装,也就是进行免杀处理。目前常见的免杀方法有加壳、加花(指令)、修改特征码、变换入口点、入口点加密等。同时当前主流的杀毒软件都采用了复合特征码,因此很多时候通过一种方法很难达到免杀效果,这时需要几种方法配合才能起到免杀效果。实战程序免杀一、免杀从程序内部开始准备好我们要免杀的黑客程序。首先进行加密处理,运行加密程序MaskPE,它是一款自动修改PE文件的软件,可以将程序原有的源代码打乱,这样就能生成免杀的木马或病毒。点击“LoadFile”按钮选择免杀程序,在“SelectInformation”列表中任意选择一项,最后点击“MakeFile”按钮,在弹出的窗口中对加密的文件进行另存即可。二、花指令迷惑杀毒软件运行“超级加花器”,这是一款全新的加花程序。首先将服务端程序直接拖动到程序的主界面进行释放,接着在“花指令”下拉列表中选择一种花指令,单击“加花”按钮后就可以了。这样,一段花指令就被成功地添加到黑客程序代码的最前面,那些从文件头提取特征码的杀毒软件也就无能为力了。三、加壳阻止杀毒软件分析然后进行加壳处理,这样可以阻止杀毒软件将获取的源代码和特征码进行比对。运行PrivateexeProtector这款加壳程序,在出现的“应用程序”列表中设置需要免杀的黑客程序。再将下面“设置”选项中将“动态保护”勾选上,最后点击工具栏中的“开始保护”按钮即可马上进行加壳处理。四、改入口点防特征码对比最后进行更改入口点的处理,它的目的和加壳处理相似,就是让杀毒软件无法从黑客程序的入口点来获取源代码。运行PEditor这款软件修改程序,点击“浏览”按钮选择黑客程序,找到“入口点”这个信息选项,接着在原来的数值的基础上加上1,接着点击“应用更改”按钮就可以完成刚才的设置确认。当黑客程序进行完免杀处理以后,首先要使用多款杀毒软件对它进行杀毒检测,没有安装杀毒软件的用户也可以通过一个多引擎样本查毒网站进行检测。如果已经不被杀毒软件所查杀了,还要在本地测试经过免杀处理后的程序是否能正常的运行。只有进行了这一系列测试以后,才能确定该黑客程序是否免杀成功。二、灰鸽子木马怎么免杀?
免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面,英文为Anti-AntiVirus(简写VirusAV),逐字翻译为“反-反病毒”,翻译为“反杀毒技术”。免杀分为手工免杀和开源免杀。手工免杀即为特征码免杀和无特征码免杀,特征码免杀就是通过定位找到特征码然后进行修改达到免杀效果,无特征码免杀就是通过加壳加花改壳达到免杀效果,但是对于国外的杀软查杀,一般都是杀在输入表上,这种时候只能进行无特征码免杀,对输入表进行重建和隐藏,手工免杀的免杀时间不长。开源免杀就是得到木马的源代码进行修改,通常先进行定位特征码然后进行修改,当定位到字符串时只要加nop就好,但是对于查杀在查杀注入表的地方就可以进行动态调用,还有什么不明白可以加我QQ810785989三、怎么学习免杀?
免杀技术的分类 1、开源免杀:指在有病毒、木马源代码的前提下,通过修改源代码进行免杀。
2、手工免杀:指在仅有病毒、木马的可执行文件(PE文件)的情况下进行免杀。[编辑本段]五、怎样了解、学习免杀 目前国内有关于介绍黑客免杀技术的书籍共有两本《黑客免杀入门》与《精通黑客免杀》。
《黑客免杀入门》为近期出版,但其介绍的内容更加详细,内容讲解更为透彻,更有深度。
《精通黑客免杀》较早出版,因而有关于免杀技术的介绍不是很详细,但其附带的光盘中附带了几百兆的操作录像,是不可多得的宝贵资源。[编辑本段]六、免杀技术概览 手工免杀分类:
1.文件免杀和查杀:不运行程序用杀毒软件进行对该程序的扫描,所得结果。
2.内存的免杀和查杀:判断的方法1>运行后,用杀毒软件的内存查杀功能.
2>用OD载入,用杀毒软件的内存查杀功能.
什么叫特征码:
1.含意:能识别一个程序是一个病毒的一段不大于64字节的特征串.
2.为了减少误报率,一般杀毒软件会提取多段特征串,这时,我们往往改一处就可达到
免杀效果,当然有些杀毒软件要同时改几处才能免杀.(这些方法以后详细介绍)
3.下面用一个示意图来具体来了解一下特征码的具体概念
特征码的定位与原理:
1.特征码的查找方法:文件中的特征码被我们填入的数据(比如0)替换了,那杀毒软
件就不会报警,以此确定特征码的位置
2.特征码定位器的工作原理:原文件中部分字节替换为0,然后生成新文件,再根据杀
毒软件来检测这些文件的结果判断特征码的位置
认识特征码定位与修改的工具:
1.CCL(特征码定位器)
2.OllyDbg(特征码的修改)
3.OC(用于计算从文件地址到内存地址的小工具)
4.UltaEdit-32(十六进制编辑器,用于特征码的手工准确定位或修改)
特征码修改方法:
特征码修改包括文件特征码修改和内存特征码修改,因为这二种特征码的修改方法
是通用的。所以就对目前流行的特征码修改方法作个总节。
方法一:直接修改特征码的十六进制法
1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.
2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下能
否正常使用.
方法二:修改字符串大小写法
1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.
2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.
方法三:等价替换法
1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.
2.适用范围:特征码中必需有可以替换的汇编指令.比如JN,JNE换成JMP等.
如果和我一样对汇编不懂的可以去查查8080汇编手册.
方法四:指令顺序调换法
1.修改方法:把具有特征码的代码顺序互换一下.
2.适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行
方法五:通用跳转法
1.修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.
2.适用范围:没有什么条件,是通用的改法,强烈建议大家要掌握这种改法.
木马免杀的综合修改方法:
文件免杀方法:
1.加冷门壳
举例来说,如果说程序是一张烙饼,那壳就是包装袋,可以让你发现不了包装袋里的东西是什么。比较常见的壳一般容易被杀毒软件识别,所以加壳有时候会使用到生僻壳,就是不常用的壳。现在去买口香糖你会发现至少有两层包装,所以壳也可以加多重壳,让杀毒软件看不懂。如果你看到一个袋子上面写着干燥剂、有毒之类的字你也许就不会对他感兴趣了吧,这就是伪装壳,把一种壳伪装成其他壳,干扰杀毒软件正常的检测。
2.加花指令
加花是病毒免杀常用的手段,加花的原理就是通过添加加花指令(一些垃圾指令,类型加1减1之类的无用语句)让杀毒软件检测不到特征码,干扰杀毒软件正常的检测。加花以后,一些杀毒软件就检测不出来了,但是有些比较强的杀毒软件,像江民杀毒软件,病毒还是会被杀的。这可以算是“免杀”技术中最初级的阶段。
3.改程序入口点
4.改木马文件特征码的5种常用方法(参见“修改内存特征码”)
5.还有其它的几种免杀修改技巧
修改内存特征码:
1.直接修改特征码的十六进制法
2.修改字符串大小写法
3.等价替换法
4.指令顺序调换法
【FUTURE PROGRAMMING COURSE】尊享对接老板
电话+V: 152079-09430
机构由一批拥有10年以上开发管理经验,且来自互联网或研究机构的IT精英组成,负责研究、开发教学模式和课程内容。公司具有完善的课程研发体系,一直走在整个行业发展的前端,在行业内竖立起了良好的品质口碑。
