6个回答
推荐于2016-08-04
展开全部
免杀就是把PE文件修改特征,让杀毒软件的病毒库认不出,我们常说的木马免杀,就是让木马或病毒通过修改躲过杀软查杀,让用户不发现。但杀软报毒不一定是病毒,像扫描工具,所有大型网站做免杀只是为了不带病毒体的文件避免杀软误杀
如果你想学习免杀技术:1.基础的汇编语言 2.修改工具(不指那些傻瓜式软件).如:
OllyDbg . PEditor. C32ASM . MYCCL复合特征码定位器.UE .OC. 资源编辑器等.还有一些查壳 脱壳软件(如:PEID RL脱壳机等) . 以下是常用的几种免杀方法及工具:一. 要使一个木马免杀,首先要准备一个不加壳的木马,这点非常重要,否则
免杀操作就不能进行下去。
二.然后我们要木马的内存免杀,从上面分析可以看出,目前的内存查杀,只有
瑞星最强,其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀
,要进行内存特征码的定位和修改,才能内存免杀。
二.对符其它的杀毒软件,比如江民,金山,诺顿,卡巴.我们可以采用下面的方
法,或这些方面的组合使用.1>.入口点加1免杀法.
2>.变化入口地址免杀法
3>.加花指令法免杀法
4>.加壳或加伪装壳免杀法.
5>.打乱壳的头文件免杀法.
6>.修改文件特征码免杀法.
第三部分:免杀技术实例演示部分
一.入口点加1免杀法:
1.用到工具:PEditor
2.特点:非常简单实用,但有时还会被卡巴查杀.
3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可.
二.变化入口地址免杀法:
1.用到工具:OllyDbg,PEditor
2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳.
3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后
又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址.
三.加花指令法免杀法:
1.用到工具:OllyDbg,PEditor
2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀.
3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去
填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令
的着地址.
四.加壳或加伪装壳免杀法:
1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等.
2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀.
3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的
免杀效果更佳.
五.打乱壳的头文件或壳中加花免杀法:
1.用到工具:秘密行动 ,UPX加壳工具.
2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好.
3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款
工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.
六.修改文件特征码免杀法:
1.用到工具:特征码定位器,OllyDbg
2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要
达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好.
3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程.
第四部分:快速定位与修改瑞星内存特征码
一. 瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符
串作为病毒特征码,这样对我们的定位和修改带来了方便.
二定位与修改要点:1>.首先用特征码定位器大致定位出瑞星内存特征码位置
2>.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是
字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征
码后,只要把字符串的大小写互换就能达到内存免杀效果.
第五部分:木马免杀综合方案
修改内存特征码--->1>入口点加1免杀法---> 1>加压缩壳--->1>再加壳或多重加壳
2>变化入口地址免杀法 2>加成僻壳 2>加壳的伪装.
3>加花指令法免杀法 3>打乱壳的头文件
4>修改文件特征码免杀法
注:这个方案可以任意组合各种不同的免杀方案.并达到各种不同的免杀效果.
第六部分:免杀方案实例演示部分
1.完全免杀方案一:
内存特征码修改 + 加UPX壳 + 秘密行动工具打乱UPX壳的头文件.
2.完全免杀方案二:
内存特征码修改 + 加压缩壳 + 加壳的伪装
3.完全免杀方案三:
内存特征码修改 + 修改各种杀毒软件的文件特征码 + 加压缩壳
4.完全免杀方案四:
内存特征码修改 + 加花指令 + 加压壳
5.完全变态免杀方案五:
内存特征码修改 + 加花指令 + 入口点加1 + 加压缩壳UPX + 打乱壳的头文件
还有其它免杀方案可根据第五部分任意组合.
如果你想学习免杀技术:1.基础的汇编语言 2.修改工具(不指那些傻瓜式软件).如:
OllyDbg . PEditor. C32ASM . MYCCL复合特征码定位器.UE .OC. 资源编辑器等.还有一些查壳 脱壳软件(如:PEID RL脱壳机等) . 以下是常用的几种免杀方法及工具:一. 要使一个木马免杀,首先要准备一个不加壳的木马,这点非常重要,否则
免杀操作就不能进行下去。
二.然后我们要木马的内存免杀,从上面分析可以看出,目前的内存查杀,只有
瑞星最强,其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀
,要进行内存特征码的定位和修改,才能内存免杀。
二.对符其它的杀毒软件,比如江民,金山,诺顿,卡巴.我们可以采用下面的方
法,或这些方面的组合使用.1>.入口点加1免杀法.
2>.变化入口地址免杀法
3>.加花指令法免杀法
4>.加壳或加伪装壳免杀法.
5>.打乱壳的头文件免杀法.
6>.修改文件特征码免杀法.
第三部分:免杀技术实例演示部分
一.入口点加1免杀法:
1.用到工具:PEditor
2.特点:非常简单实用,但有时还会被卡巴查杀.
3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可.
二.变化入口地址免杀法:
1.用到工具:OllyDbg,PEditor
2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳.
3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后
又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址.
三.加花指令法免杀法:
1.用到工具:OllyDbg,PEditor
2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀.
3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去
填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令
的着地址.
四.加壳或加伪装壳免杀法:
1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等.
2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀.
3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的
免杀效果更佳.
五.打乱壳的头文件或壳中加花免杀法:
1.用到工具:秘密行动 ,UPX加壳工具.
2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好.
3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款
工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.
六.修改文件特征码免杀法:
1.用到工具:特征码定位器,OllyDbg
2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要
达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好.
3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程.
第四部分:快速定位与修改瑞星内存特征码
一. 瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符
串作为病毒特征码,这样对我们的定位和修改带来了方便.
二定位与修改要点:1>.首先用特征码定位器大致定位出瑞星内存特征码位置
2>.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是
字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征
码后,只要把字符串的大小写互换就能达到内存免杀效果.
第五部分:木马免杀综合方案
修改内存特征码--->1>入口点加1免杀法---> 1>加压缩壳--->1>再加壳或多重加壳
2>变化入口地址免杀法 2>加成僻壳 2>加壳的伪装.
3>加花指令法免杀法 3>打乱壳的头文件
4>修改文件特征码免杀法
注:这个方案可以任意组合各种不同的免杀方案.并达到各种不同的免杀效果.
第六部分:免杀方案实例演示部分
1.完全免杀方案一:
内存特征码修改 + 加UPX壳 + 秘密行动工具打乱UPX壳的头文件.
2.完全免杀方案二:
内存特征码修改 + 加压缩壳 + 加壳的伪装
3.完全免杀方案三:
内存特征码修改 + 修改各种杀毒软件的文件特征码 + 加压缩壳
4.完全免杀方案四:
内存特征码修改 + 加花指令 + 加压壳
5.完全变态免杀方案五:
内存特征码修改 + 加花指令 + 入口点加1 + 加压缩壳UPX + 打乱壳的头文件
还有其它免杀方案可根据第五部分任意组合.
上海国想
2024-12-02 广告
2024-12-02 广告
作为上海国想科技发展有限公司的工作人员,对于勒索病毒的解决方案,建议如下:一旦发现勒索病毒,立即隔离被感染的服务器主机,切断网络连接,并检查文件加密情况。接着,分析日志信息,确定病毒类型和入侵方式,然后进行系统修复,彻底清除病毒,安装高强度...
点击进入详情页
本回答由上海国想提供
展开全部
尊敬的用户您好!
选择综合性较强的安全软件就好。建议您用腾讯电脑管家,永久免费。
管家依托小红伞(antivir)国际顶级杀毒引擎、腾讯云引擎、鹰眼引擎等四核专业引擎。查杀能力、病毒识别率提高30%,深度根除顽固病毒,全方位保障用户上网安全,杀毒实力跻身全球第一阵营!通过的权威认证有:
VB100权威认证
AV-Comparatives权威认证
英国西海岸实验室(West Coast Labs)Check Mark认证
AV-TEST权威认证
AVAR亚洲病毒研究者协会会员
OPSWAT国际认证
点击进入腾讯电脑管家官网下载安装!
更多问题您可以继续向电脑管家企业平台提问!
期待得到您满意的评价,感谢您对管家的支持,祝您生活愉快!
本回答被网友采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
2013-11-25
展开全部
加upx壳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
2013-11-25
展开全部
重新安装一下系统.
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
用mycc定位特征码,用c32或者是oD来修改特征码。根据定位的特征码位置不同修改的方式也有所不同。这里有款免杀工具包你可以下载使用http://ccnn7.com/?post=14
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询