如何实现免杀木马,如何实现免杀木马模式

免杀木马怎么制作

如果你想学习免杀技术:1.基础的汇编语言 2.修改工具(不指那些傻瓜式软件).如:

OllyDbg . PEditor. C32ASM . MYCCL复合特征码定位器.UE .OC. 资源编辑器等.还有一些查壳 脱壳软件(如:PEID RL脱壳机等) . 以下是常用的几种免杀方法及工具:一. 要使一个木马免杀，首先要准备一个不加壳的木马，这点非常重要，否则

免杀操作就不能进行下去。

二.然后我们要木马的内存免杀，从上面分析可以看出，目前的内存查杀，只有

瑞星最强，其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀

，要进行内存特征码的定位和修改，才能内存免杀。

二.对符其它的杀毒软件，比如江民，金山，诺顿,卡巴.我们可以采用下面的方

法,或这些方面的组合使用.1.入口点加1免杀法.

2.变化入口地址免杀法

3.加花指令法免杀法

4.加壳或加伪装壳免杀法.

5.打乱壳的头文件免杀法.

6.修改文件特征码免杀法.

第三部分:免杀技术实例演示部分

一.入口点加1免杀法:

1.用到工具:PEditor

2.特点:非常简单实用,但有时还会被卡巴查杀.

3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可.

二.变化入口地址免杀法:

1.用到工具:OllyDbg,PEditor

2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳.

3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后

又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址.

三.加花指令法免杀法:

1.用到工具:OllyDbg,PEditor

2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀.

3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去

填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令

的着地址.

四.加壳或加伪装壳免杀法:

1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等.

2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀.

3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的

免杀效果更佳.

五.打乱壳的头文件或壳中加花免杀法:

1.用到工具:秘密行动 ,UPX加壳工具.

2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好.

3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款

工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.

六.修改文件特征码免杀法:

1.用到工具:特征码定位器,OllyDbg

2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要

达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好.

3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程.

第四部分:快速定位与修改瑞星内存特征码

一. 瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符

串作为病毒特征码,这样对我们的定位和修改带来了方便.

二定位与修改要点:1.首先用特征码定位器大致定位出瑞星内存特征码位置

2.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是

字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征

码后,只要把字符串的大小写互换就能达到内存免杀效果.

第五部分:木马免杀综合方案

修改内存特征码---1入口点加1免杀法--- 1加压缩壳---1再加壳或多重加壳

2变化入口地址免杀法 2加成僻壳 2加壳的伪装.

3加花指令法免杀法 3打乱壳的头文件

4修改文件特征码免杀法

注:这个方案可以任意组合各种不同的免杀方案.并达到各种不同的免杀效果.

第六部分:免杀方案实例演示部分

1.完全免杀方案一:

内存特征码修改 + 加UPX壳 + 秘密行动工具打乱UPX壳的头文件.

2.完全免杀方案二:

内存特征码修改 + 加压缩壳 + 加壳的伪装

3.完全免杀方案三:

内存特征码修改 + 修改各种杀毒软件的文件特征码 + 加压缩壳

4.完全免杀方案四:

内存特征码修改 + 加花指令 + 加压壳

5.完全变态免杀方案五:

内存特征码修改 + 加花指令 + 入口点加1 + 加压缩壳UPX + 打乱壳的头文件

还有其它免杀方案可根据第五部分任意组合.

木马程序如何弄免杀

木马免杀浓缩精华版教程 第一部分：对国内外杀毒软件分析 在讲定位内存特征码前，先要分析国内外著名杀毒软件的内存查杀特点。大家在使用木马过程都会发现，内存查杀，一般都指得被瑞星的内存查杀。瑞星的内存查杀功能是同类杀毒软件中最强的一款杀毒软件。像强悍的卡巴，金山，等等它们的内存查杀意义不大,会制作免杀木马的人都知道,像这类杀毒软件,只要文件免杀,内存也就免杀了.还有江民也有内存查杀功能,但内存查杀功能比较弱.只针对影响力非常大的病毒程序.一般的黑客软件都没有提取内存特征码. 第二部分：木马免杀的对策 一. 要使一个木马免杀，首先要准备一个不加壳的木马，这点非常重要，否则下面的免杀操作就不能进行下去。 二.然后我们要木马的内存免杀，从上面分析可以看出，目前的内存查杀，只有瑞星最强，其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀，要进行内存特征码的定位和修改，才能内存免杀。 三.对符其它的杀毒软件，比如江民，金山，诺顿,卡巴.我们可以采用下面的方法,或这些方面的组合使用. 1.入口点加1免杀法. 2.变化入口地址免杀法 3.加花指令法免杀法 4.加壳或加伪装壳免杀法. 5.打乱壳的头文件免杀法. 6.修改文件特征码免杀法. 第三部分:免杀技术实例演示部分 一.入口点加1免杀法: 1.用到工具:PEditor 2.特点:非常简单实用,但有时还会被卡巴查杀. 3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可. 二.变化入口地址免杀法: 1.用到工具:OllyDbg,PEditor 2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳. 3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址. 三.加花指令法免杀法: 1.用到工具:OllyDbg,PEditor 2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀. 3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令的着地址. 四.加壳或加伪装壳免杀法: 1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等. 2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀. 3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的免杀效果更佳. 五.打乱壳的头文件或壳中加花免杀法: 1.用到工具:秘密行动 ,UPX加壳工具. 2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好. 3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果. 六.修改文件特征码免杀法: 1.用到工具:特征码定位器,OllyDbg 2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好. 3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程. 第四部分:快速定位与修改瑞星内存特征码 一.瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符串作为病毒特征码,这样对我们的定位和修改带来了方便. 二.定位与修改要点: 1.首先用特征码定位器大致定位出瑞星内存特征码位置 2.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征码后,只要把字符串的大小写互换就能达到内存免杀效果. 第五部分:免杀方案实例演示部分 1.完全免杀方案一: 内存特征码修改 + 加UPX壳 + 秘密行动工具打乱UPX壳的头文件. 2.完全免杀方案二: 内存特征码修改 + 加压缩壳 + 加壳的伪装 3.完全免杀方案三: 内存特征码修改 + 修改各种杀毒软件的文件特征码 + 加压缩壳 4.完全免杀方案四: 内存特征码修改 + 加花指令 + 加压壳 5.完全变态免杀方案五: 内存特征码修改 + 加花指令 + 入口点加1 + 加压缩壳UPX + 打乱壳的头文件 还有其它免杀方案可任意组合.达到更好的免杀效果.

如何给木马做免杀

给木马穿上隐身衣

精心配置木马灰鸽子黑方专版，做示范讲解

打开---配置服务程序----自动上线设置（自定义按需要）-----安装设置（要把安装路径修改为$（windir）\360tray.exe,）并把文件安装后自动删除安装文件的勾去掉---启动项设置（显示名称为360tray.exe）----最后描述信息为“360安全卫士适时保护模块。配置完成后，发布生成木马，并双击测试能否正常上线，确认可以后便开始对他进行符合定位特征码进行免杀设置，这里将生成的木马存粗放在桌面上，并命名为MM.EXE

二，定位特征码，定位之前我们先要吧MM进行压缩编辑，蛰样及去掉部分垃圾代码，让木马正常运行，重要的是后期查找特征码能节约一半的时间。

打开simplepack软件 见MM.EXE 拖入软件界面，在选项中勾选“创建备份文件“并选择方式1”压缩资源“最后单击压缩，压缩后的mm一样可以上线，

2经接着对压缩后的mm进行特征码的定位，打开myccl“符合码定位器”软件，单击文件按钮将mm.exe导入，将下面输入目录设置为”c:\users\adinistrator\desktop\OUTPUT,把分块个数改为100 接着单击 特征区间按钮 最后单击生成按钮 此时窗口提示 请对生成目录惊醒杀毒 杀毒完成后请点击 《二次处理》按钮 确定后开始对对桌面上的output文件夹进行杀毒 ，

查到病毒后，点击“清除病毒”并将下面的“用相同方式处理此类问题”勾上，这时会杀掉100 多个病毒文件，完成杀毒后回到myccl窗口这里继续单击 二次处理 按钮 软件提示“程序找到一个特征码，是否继续生成文件特征码，但可能还会生成其他特征码，是否继续进行生成文件分析，？ 这里单击yes 按钮 此时继续对桌面上的”output” 文件进行杀毒 重复处理 知道查不出病毒为止，

查完后myccl;右侧的特征码区间设定，回查找特征码如：00000e0---00001db 有机特征码并选择“符合定位此处特征，接着将分块个数填上 100继续生成，output 文件夹进行杀毒定位其他特征码， 几次定位后 最后定到单位长度为2 最终得到一个特征码，，将它记下，假设我们这里得到的最重复合特征码是：00545cc—0000005这里我们只要记下前面的00545cc即可，他就是瑞星判断mm的特征码 正是我们想要的，、

修改特征码。

得到瑞星对mm的特征码，紧接着我们要对利用c32asm软件对mm进行编译，吧00545cc编码重新编写 使程序跳过oo545cc 这样不支持就不会被瑞星发现了，最后生成mm.exe就是最终的超级免杀木马，let go

启动c32asm将mm打开进行反编译，此时右键鼠标—选择（对应HEX编辑）在编辑模式下找到00545cc这项，但最终我们只找到这项和00545c0和答案接近，不要急其实他就是我们要找的特征码所在，在他后边找到e5然后右击鼠标“对应汇编模式编辑”

此时在汇编模式下找“00545cc”代码 并将下面一项一并复制下来，内容如下00545cc:83c8 ff or eax ffffffff

004545cf ff6424 20 jmp near [esp+20]

接着在该模式下去寻找 一段空的位置 （也就是汇编为00的位置）例如004000212 右键鼠标选择（汇编“并在窗口输入jmp 00400039.这丫给我们创建了一个跳转的空区域 这是程序不运行的，下来我们就要在这里做文章了，

选中00545cc的汇编代码or eax ffffffff 复制 接着来到刚才的的空区域里随便个位置右击汇编项 在弹出窗口中将粘贴进去 单击汇编 结束 紧接着在该剧的下边一句输入汇编命令 jmp 004545cf 单击汇编 结束 后便继续找回 00545cc选择汇编输入 NOP命令 把该句的 NOP去掉 接着在该句右击鼠标选择汇编输入jmp 00400021命令。最后单击文件，另存为给该木马从型包装的成mm.exe命令

双击mm.exe发现灰鸽子可以正常上现了，在查杀 没有找到病毒， 至此这个超级muma

如何让木马达到免杀效果

现在的杀毒软件对任何病毒的查杀，都是建立在拥有该病毒的特征码的基础上的。黑客为了让木马程序不被杀毒软件查杀，会通过各种方法对它进行修改或伪装，也就是进行免杀处理。目前常见的免杀方法有加壳、加花(指令)、修改特征码、变换入口点、入口点加密等。同时当前主流的杀毒软件都采用了复合特征码，因此很多时候通过一种方法很难达到免杀效果，这时需要几种方法配合才能起到免杀效果。 实战程序免杀 一、免杀从程序内部开始 准备好我们要免杀的黑客程序。首先进行加密处理，运行加密程序MaskPE，它是一款自动修改PE文件的软件，可以将程序原有的源代码打乱，这样就能生成免杀的木马或病毒。 点击“Load File”按钮选择免杀程序，在“Select Information”列表中任意选择一项，最后点击“Make File”按钮，在弹出的窗口中对加密的文件进行另存即可。 二、花指令迷惑杀毒软件 运行“超级加花器”，这是一款全新的加花程序。首先将服务端程序直接拖动到程序的主界面进行释放，接着在“花指令”下拉列表中选择一种花指令，单击“加花”按钮后就可以了。这样，一段花指令就被成功地添加到黑客程序代码的最前面，那些从文件头提取特征码的杀毒软件也就无能为力了。 三、加壳阻止杀毒软件分析 然后进行加壳处理，这样可以阻止杀毒软件将获取的源代码和特征码进行比对。运行Private exe Protector这款加壳程序，在出现的“应用程序”列表中设置需要免杀的黑客程序。再将下面“设置”选项中将“动态保护”勾选上，最后点击工具栏中的“开始保护”按钮即可马上进行加壳处理。 四、改入口点防特征码对比 最后进行更改入口点的处理，它的目的和加壳处理相似，就是让杀毒软件无法从黑客程序的入口点来获取源代码。运行PEditor这款软件修改程序，点击“浏览”按钮选择黑客程序，找到“入口点”这个信息选项，接着在原来的数值的基础上加上1，接着点击“应用更改”按钮就可以完成刚才的设置确认。 当黑客程序进行完免杀处理以后，首先要使用多款杀毒软件对它进行杀毒检测，没有安装杀毒软件的用户也可以通过一个多引擎样本查毒网站进行检测。 如果已经不被杀毒软件所查杀了，还要在本地测试经过免杀处理后的程序是否能正常的运行。只有进行了这一系列测试以后，才能确定该黑客程序是否免杀成功。

木马免杀

操作步骤：

第一步：用OD载入，来到程序的入口点。

第二步：把入口点的第一句PUSH EBP 改成POP EBP 然后保存就可以躲过瑞星的表面查杀。

绝招二：快速定位与修改瑞星内存特征码

原理：因为目前的内存查杀杀毒软件，只有瑞星才能威胁到我们的木马。也就是说只要搞定瑞星的内存查杀，那我们的木马在内存就畅通无阻了.但由于技术原因,目前瑞星的内存特征码在90%以上把字符串作为病毒特征码,这样对我们的定位和修改带来了方便.

操作步骤:

第一步:首先用特征码定位器大致定位出瑞星内存特征码位置.

第二步:然后用UE打开,找到这个大致位置,看看,哪些方面对应的是字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征码后,只要把字符串的大小写互换就能达到内存免杀效果.

绝招三:如何快速躲过诺顿的查杀

诺顿的查杀特点:大家有时候会发现,通过改特征码,加花指令,改内存特征码,等等,卡巴,江民,金山,瑞星都过了,但无论如何都过不了诺顿,这时候是不是感到很纳闷.其实诺顿特征码的定义和其它杀毒软件不一样,其它杀毒软件的特征码都在代码段而只有它把特征码定义在PE头文件里面.而在头文件里面,一般都用字符串作为病毒特征码,知道了原理,就有下面的二种方法来应付.

方法一:只要把头文件的字符串的大小字互换一下就可以搞定了.

方法二:有二款压缩软件WinUpack和北斗星,经过他们的压缩,会把我们的木马程序的头文件改的面目全非.所以把我们的木马做好其它的杀毒软件的免杀后,再用这二款压缩软件的压缩就可以躲过诺顿的查杀.

绝招四:一个不太通用的免杀方法

免杀方法:把入口点第三句开始的几行(20字节内)汇编代码移到零区域去执行,也达到一定的免杀效果.