本文目录一览:
- 1、免杀有几种方法
- 2、诺顿360免杀方法
- 3、免杀需要哪些基础知识?
- 4、怎么做软件免杀破解win10自带的杀毒?
- 5、什么是免杀技术的病毒
- 6、免杀病毒真的免杀吗
免杀有几种方法
特征码修改包括文件特征码修改和内存特征码修改,因为这二种特征码的修改方法
是通用的。所以就对目前流行的特征码修改方法作个总节。
方法一:直接修改特征码的十六进制法
1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.
2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下能
否正常使用.
方法二:修改字符串大小写法
1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.
2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.
方法三:等价替换法
1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.
2.适用范围:特征码中必需有可以替换的汇编指令.比如JN,JNE 换成JMP等.
如果和我一样对汇编不懂的可以去查查8080汇编手册.
方法四:指令顺序调换法
1.修改方法:把具有特征码的代码顺序互换一下.
2.适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行
方法五:通用跳转法
1.修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.
2.适用范围:没有什么条件,是通用的改法,强烈建议大家要掌握这种改法.
文件免杀方法:
1.加冷门壳
2.加花指令
3.改程序入口点
4.改木马文件特征码的5种常用方法
5.还有其它的几种免杀修改技巧
内存免杀方法:
修改内存特征码:
方法1直接修改特征码的十六进制法
方法2修改字符串大小写法
方法3等价替换法
方法4指令顺序调换法
方法5通用跳转法
木马的免杀[学用CLL定位文件和内存特怔码]
1.首先我们来看下什么叫文件特征码.
一般我们可以这样认为,一个木马程序在不运行的情况下,用杀毒软件查杀,若报警为病毒,说明存在该查毒软件的文件特征码的。
2.特征码的二种定位方法.
手动定位和自动定位
3.文件特征码的定位技巧.
通常用手动确定大范围,用自动精确定位小范围.
下面分别用瑞星和卡巴为例,实例演示并结合手动定位和自动定位二种方法来准确定位文件特征码。要定位的对像以下载者为例。
用卡巴来定位文件特征码
⑴.手动定位:
1 打开CLL
2 选择设置中的 总体参数 ,,,,,选中文件特征码手动定位,,,,以及路径
3选中设置中的 手动参数,,,,,选择替换方式 选中,,,总共生成规定个数的文件,,,生成个数为1000
4选择文件中的 特征码检测,,文件特征码检测,,,打开程序(要定位特证码的程序)
5在弹出的PE窗口中 直接点确定 ,之后弹出的窗口在点确定
6然后等CLL生成完毕之后用杀毒软件进行查杀
7在CLL中选 操作,结果定位,选中刚刚用来存放检测结果的文件夹
8在CLL中选
文件免杀之加花指令法
一.花指令相关知识:
其实是一段垃圾代码,和一些乱跳转,但并不影响程序的正常运行。加了花指令后,使一些杀毒软件无法正确识别木马程序,从而达到免杀的效果。
二.加花指令使木马免杀制作过程详解:
第一步:配置一个不加壳的木马程序。
第二步:用OD载入这个木马程序,同时记下入口点的内存地址。
第三步:向下拉滚动条,找到零区域(也就是可以插入代码的都是0的空白地方)。并记下零区域的起始内存地址。
第四步:从这个零区域的起始地址开始一句一句的写入我们准备好的花指令代码。
第五步:花指令写完后,在花指令的结束位置加一句:JMP 刚才OD载入时的入口点内存地址。
第六步:保存修改结果后,最后用PEditor这款工具打开这个改过后的木马程序。在入口点处把原来的入口地址改成刚才记下的零区域的起始内存地址,并按应用更改。使更改生效。
三.加花指令免杀技术总节:
1.优点:通用性非常不错,一般一个木马程序加入花指令后,就可以躲大部分的杀毒软件,不像改特征码,只能躲过某一种杀毒软件。
2.缺点:这种方法还是不能过具有内存查杀的杀毒软件,比如瑞星内存查杀等。
3.以后将加花指令与改入口点,加壳,改特征码这几种方法结合起来混合使用效果将非常不错。
四.加花指令免杀要点:
由于黑客网站公布的花指令过不了一段时间就会被杀软辨认出来,所以需要你自己去搜集一些不常用的花指令,另外目前还有几款软件可以自动帮你加花,方便一些不熟悉的朋友,例如花指令添加器等。
修改内存特征码---1入口点加1免杀法 1加压缩壳1---再加壳或多重加壳
2变化入口地址免杀法 2加生僻壳---2加壳的伪装.
3加花指令法免杀法 3加压缩壳3---打乱壳的头文件
4修改文件特征码免杀法
以上免杀方法可以自由组合成多种不同的免杀方案。
二.常用免杀方案
1.实例完全免杀方案一:
内存特征码修改+加UPX壳+秘密行动打乱壳的头文件。
所需工具:UPX加壳工具,秘密行动
2.完全免杀方案二:
内存特征码修改+加花指令+加压缩壳
3.完全免杀方案三:
内存特征码修改+加压缩壳+加壳的伪装或多重加壳
4.完全免杀方案四:
内存特征码修改+去头变换入口点地址+压缩壳
5.完全免杀方案五:
内存特征码修改+修改各种杀毒软件特征码+压缩壳
6.完全变态免杀方案六:
内存特征码修改+加花指令+去头变换入口点+加UPX壳+用秘密行动打乱壳的头文件.
免杀离不开破解。所以还是去看雪学院,一蓑烟雨,飘云阁,黑蚂蚁都是不错的地方。
诺顿360免杀方法
一楼的方法貌似不行。我用的也是V3.0。我的做法一般有两种:
1:如果需要马上用的话,就先关闭自动防护,等那些破解工具用完了以后再打开防护。
2:把这些东西上传到网络硬盘,比如QQ里面的。反正一个破解补丁最大也才几MB。等要用的时候再下载下来。
免杀需要哪些基础知识?
免杀一般要先定位特征码。如果你定位出的特征码位于程序代码段,则需要修改机器码(汇编代码),才能达到免杀的效果。
简单来说,你需要关注的是,哪些指令可以调换,或者那条指令可以用另一条指令代替。你不用把每条指令的功能都记下来,但是需要知道一些常用指令(mov jmp call ret等)。
学习汇编的不是叫你去记指令,而是去了解80x86 CPU,它有哪些部件?它是怎样工作的?这才是重点,不然你就算知道了几条指令的含义,免杀调试起来也是困难重重。建议买本80x86汇编语言程序设计,就看前面几章。
我说说我理想中的免杀人员具备的素质吧:
1、有一个高效、自动的工具,能快速定位特征码
2、对PE文件构造有一定了解,知道定位出的特征码位于程序的那个段,知道在如何处理特征码定位在代码段以外(输入表、配置区)的情况。
3、了解80x86常用汇编指令,了解80x86CPU工作方式
4、熟悉至少一个汇编调试软件。比如OllyDbg,能够调试找出免杀失败的原因。
5、熟悉杀毒软件的花招。为什么我的特征码在输入表上?能不能让它换个位置?
怎么做软件免杀破解win10自带的杀毒?
如果需要强制关闭Windows 10自带的杀毒软件,可以直接通过脚本禁用“Windows Defender”服务解决问题。
注意:如果需要通过脚本禁用服务,必须使用C、VB等通用语言,Java等语言不支持此类操作。
什么是免杀技术的病毒
免杀,一般是指一些破解软件的关键程序防杀毒软件功能。
一般杀毒软件为维护正版权益会把破解软件的关键程序当病毒处理导致盗版软件无法使用
而所谓免杀是指底于指定版本号或者一般杀毒软件不会查杀的破解程序
但是杀毒软件的破解程序一定会更新被查杀的
免杀病毒真的免杀吗
免杀,一般是指一些破解软件的关键程序防杀毒软件功能。
一般杀毒软件为维护正版权益会把破解软件的关键程序当病毒处理导致盗版软件无法使用
而所谓免杀是指底于指定版本号或者一般杀毒软件不会查杀的破解程序
但是杀毒软件的破解程序一定会更新被查杀的哈哈