木马免杀教程,怎样杀木马

http://www.itjxue.com  2023-01-24 08:27  来源:未知  点击次数: 

免杀木马怎么制作

如果你想学习免杀技术:1.基础的汇编语言 2.修改工具(不指那些傻瓜式软件).如:

OllyDbg . PEditor. C32ASM . MYCCL复合特征码定位器.UE .OC. 资源编辑器等.还有一些查壳 脱壳软件(如:PEID RL脱壳机等) . 以下是常用的几种免杀方法及工具:一. 要使一个木马免杀,首先要准备一个不加壳的木马,这点非常重要,否则

免杀操作就不能进行下去。

二.然后我们要木马的内存免杀,从上面分析可以看出,目前的内存查杀,只有

瑞星最强,其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀

,要进行内存特征码的定位和修改,才能内存免杀。

二.对符其它的杀毒软件,比如江民,金山,诺顿,卡巴.我们可以采用下面的方

法,或这些方面的组合使用.1.入口点加1免杀法.

2.变化入口地址免杀法

3.加花指令法免杀法

4.加壳或加伪装壳免杀法.

5.打乱壳的头文件免杀法.

6.修改文件特征码免杀法.

第三部分:免杀技术实例演示部分

一.入口点加1免杀法:

1.用到工具:PEditor

2.特点:非常简单实用,但有时还会被卡巴查杀.

3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可.

二.变化入口地址免杀法:

1.用到工具:OllyDbg,PEditor

2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳.

3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后

又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址.

三.加花指令法免杀法:

1.用到工具:OllyDbg,PEditor

2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀.

3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去

填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令

的着地址.

四.加壳或加伪装壳免杀法:

1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等.

2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀.

3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的

免杀效果更佳.

五.打乱壳的头文件或壳中加花免杀法:

1.用到工具:秘密行动 ,UPX加壳工具.

2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好.

3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款

工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.

六.修改文件特征码免杀法:

1.用到工具:特征码定位器,OllyDbg

2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要

达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好.

3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程.

第四部分:快速定位与修改瑞星内存特征码

一. 瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符

串作为病毒特征码,这样对我们的定位和修改带来了方便.

二定位与修改要点:1.首先用特征码定位器大致定位出瑞星内存特征码位置

2.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是

字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征

码后,只要把字符串的大小写互换就能达到内存免杀效果.

第五部分:木马免杀综合方案

修改内存特征码---1入口点加1免杀法--- 1加压缩壳---1再加壳或多重加壳

2变化入口地址免杀法 2加成僻壳 2加壳的伪装.

3加花指令法免杀法 3打乱壳的头文件

4修改文件特征码免杀法

注:这个方案可以任意组合各种不同的免杀方案.并达到各种不同的免杀效果.

第六部分:免杀方案实例演示部分

1.完全免杀方案一:

内存特征码修改 + 加UPX壳 + 秘密行动工具打乱UPX壳的头文件.

2.完全免杀方案二:

内存特征码修改 + 加压缩壳 + 加壳的伪装

3.完全免杀方案三:

内存特征码修改 + 修改各种杀毒软件的文件特征码 + 加压缩壳

4.完全免杀方案四:

内存特征码修改 + 加花指令 + 加压壳

5.完全变态免杀方案五:

内存特征码修改 + 加花指令 + 入口点加1 + 加压缩壳UPX + 打乱壳的头文件

还有其它免杀方案可根据第五部分任意组合.

木马程序如何弄免杀

木马免杀浓缩精华版教程 第一部分:对国内外杀毒软件分析 在讲定位内存特征码前,先要分析国内外著名杀毒软件的内存查杀特点。大家在使用木马过程都会发现,内存查杀,一般都指得被瑞星的内存查杀。瑞星的内存查杀功能是同类杀毒软件中最强的一款杀毒软件。像强悍的卡巴,金山,等等它们的内存查杀意义不大,会制作免杀木马的人都知道,像这类杀毒软件,只要文件免杀,内存也就免杀了.还有江民也有内存查杀功能,但内存查杀功能比较弱.只针对影响力非常大的病毒程序.一般的黑客软件都没有提取内存特征码. 第二部分:木马免杀的对策 一. 要使一个木马免杀,首先要准备一个不加壳的木马,这点非常重要,否则下面的免杀操作就不能进行下去。 二.然后我们要木马的内存免杀,从上面分析可以看出,目前的内存查杀,只有瑞星最强,其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀,要进行内存特征码的定位和修改,才能内存免杀。 三.对符其它的杀毒软件,比如江民,金山,诺顿,卡巴.我们可以采用下面的方法,或这些方面的组合使用. 1.入口点加1免杀法. 2.变化入口地址免杀法 3.加花指令法免杀法 4.加壳或加伪装壳免杀法. 5.打乱壳的头文件免杀法. 6.修改文件特征码免杀法. 第三部分:免杀技术实例演示部分 一.入口点加1免杀法: 1.用到工具:PEditor 2.特点:非常简单实用,但有时还会被卡巴查杀. 3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可. 二.变化入口地址免杀法: 1.用到工具:OllyDbg,PEditor 2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳. 3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址. 三.加花指令法免杀法: 1.用到工具:OllyDbg,PEditor 2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀. 3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令的着地址. 四.加壳或加伪装壳免杀法: 1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等. 2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀. 3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的免杀效果更佳. 五.打乱壳的头文件或壳中加花免杀法: 1.用到工具:秘密行动 ,UPX加壳工具. 2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好. 3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果. 六.修改文件特征码免杀法: 1.用到工具:特征码定位器,OllyDbg 2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好. 3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程. 第四部分:快速定位与修改瑞星内存特征码 一.瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符串作为病毒特征码,这样对我们的定位和修改带来了方便. 二.定位与修改要点: 1.首先用特征码定位器大致定位出瑞星内存特征码位置 2.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征码后,只要把字符串的大小写互换就能达到内存免杀效果. 第五部分:免杀方案实例演示部分 1.完全免杀方案一: 内存特征码修改 + 加UPX壳 + 秘密行动工具打乱UPX壳的头文件. 2.完全免杀方案二: 内存特征码修改 + 加压缩壳 + 加壳的伪装 3.完全免杀方案三: 内存特征码修改 + 修改各种杀毒软件的文件特征码 + 加压缩壳 4.完全免杀方案四: 内存特征码修改 + 加花指令 + 加压壳 5.完全变态免杀方案五: 内存特征码修改 + 加花指令 + 入口点加1 + 加压缩壳UPX + 打乱壳的头文件 还有其它免杀方案可任意组合.达到更好的免杀效果.

如何给木马做免杀

给木马穿上隐身衣

精心配置木马灰鸽子黑方专版,做示范讲解

打开---配置服务程序----自动上线设置(自定义按需要)-----安装设置(要把安装路径修改为$(windir)\360tray.exe,)并把文件安装后自动删除安装文件的勾去掉---启动项设置(显示名称为360tray.exe)----最后描述信息为“360安全卫士适时保护模块。配置完成后,发布生成木马,并双击测试能否正常上线,确认可以后便开始对他进行符合定位特征码进行免杀设置,这里将生成的木马存粗放在桌面上,并命名为MM.EXE

二,定位特征码,定位之前我们先要吧MM进行压缩编辑,蛰样及去掉部分垃圾代码,让木马正常运行,重要的是后期查找特征码能节约一半的时间。

打开simplepack软件 见MM.EXE 拖入软件界面,在选项中勾选“创建备份文件“并选择方式1”压缩资源“最后单击压缩,压缩后的mm一样可以上线,

2经接着对压缩后的mm进行特征码的定位,打开myccl“符合码定位器”软件,单击文件按钮将mm.exe导入,将下面输入目录设置为”c:\users\adinistrator\desktop\OUTPUT,把分块个数改为100 接着单击 特征区间按钮 最后单击生成按钮 此时窗口提示 请对生成目录惊醒杀毒 杀毒完成后请点击 《二次处理》按钮 确定后开始对对桌面上的output文件夹进行杀毒 ,

查到病毒后,点击“清除病毒”并将下面的“用相同方式处理此类问题”勾上,这时会杀掉100 多个病毒文件,完成杀毒后回到myccl窗口这里继续单击 二次处理 按钮 软件提示“程序找到一个特征码,是否继续生成文件特征码,但可能还会生成其他特征码,是否继续进行生成文件分析,? 这里单击yes 按钮 此时继续对桌面上的”output” 文件进行杀毒 重复处理 知道查不出病毒为止,

查完后myccl;右侧的特征码区间设定,回查找特征码如:00000e0---00001db 有机特征码并选择“符合定位此处特征,接着将分块个数填上 100继续生成,output 文件夹进行杀毒定位其他特征码, 几次定位后 最后定到单位长度为2 最终得到一个特征码,,将它记下,假设我们这里得到的最重复合特征码是:00545cc—0000005这里我们只要记下前面的00545cc即可,他就是瑞星判断mm的特征码 正是我们想要的,、

修改特征码。

得到瑞星对mm的特征码,紧接着我们要对利用c32asm软件对mm进行编译,吧00545cc编码重新编写 使程序跳过oo545cc 这样不支持就不会被瑞星发现了,最后生成mm.exe就是最终的超级免杀木马,let go

启动c32asm将mm打开进行反编译,此时右键鼠标—选择(对应HEX编辑)在编辑模式下找到00545cc这项,但最终我们只找到这项和00545c0和答案接近,不要急其实他就是我们要找的特征码所在,在他后边找到e5然后右击鼠标“对应汇编模式编辑”

此时在汇编模式下找“00545cc”代码 并将下面一项一并复制下来,内容如下00545cc:83c8 ff or eax ffffffff

004545cf ff6424 20 jmp near [esp+20]

接着在该模式下去寻找 一段空的位置 (也就是汇编为00的位置)例如004000212 右键鼠标选择(汇编“并在窗口输入jmp 00400039.这丫给我们创建了一个跳转的空区域 这是程序不运行的,下来我们就要在这里做文章了,

选中00545cc的汇编代码or eax ffffffff 复制 接着来到刚才的的空区域里随便个位置右击汇编项 在弹出窗口中将粘贴进去 单击汇编 结束 紧接着在该剧的下边一句输入汇编命令 jmp 004545cf 单击汇编 结束 后便继续找回 00545cc选择汇编输入 NOP命令 把该句的 NOP去掉 接着在该句右击鼠标选择汇编输入jmp 00400021命令。最后单击文件,另存为给该木马从型包装的成mm.exe命令

双击mm.exe发现灰鸽子可以正常上现了,在查杀 没有找到病毒, 至此这个超级muma

(责任编辑:IT教学网)

更多

推荐软件水平考试文章