做免杀主要用到的是OD修改特征码,MYCALL定位特征码,偏移量转换器物理地址和内存地址的转换加壳,可以到黑网下载一些壳,加上去,加花的话,可以自己写一些没用的废话指令加到程序中,也可以下载一些加花软件,不过这些免杀效果都不是很好最好还是修改特征码,修改特征码的方法有上下apk加花免杀工具;其次,加壳改壳是常见策略,通过upx壳或lordpe等工具,修改文件入口点并隐藏壳的特征,仅对熟悉汇编语言的开发者来说,这是一种高效且重要的免杀手段加花指令是通过插入无用指令来干扰检测,虽能避开一些杀毒软件,但面对高级杀软仍可能失效,算是免杀技术的基础阶段进一步,免杀技术还包括修改程序入口。
二是通过reloc类软件修改壳的区段入口点3修改文件特征代码免杀4加花指令免杀此方法通用性强,而且效果好主要有两种加区加花 和 去头加花5修改内存特征代码内存杀毒强的我个人认为还是我们国内的杀毒软件瑞星修改内存特征代码对于初学免杀的朋友来说,难点应该是在内存特征代码定位上至于;1用到工具一些冷门壳,或加伪装壳的工具,比如木马彩衣等2特点操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀 3操作要点为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的免杀效果更佳 五打乱壳的头文件或壳中加花免杀法1用到工具秘密行动 ,UPX。
两种简单途径,加花,或者加壳加花,简单讲就是在程序代码中加入无用的指令,使得软件的特征码不明显甚至完全找不出,从而避过杀毒软件的查杀不过我奉劝一句,不要做坏事RADMIN正当用当然是一个好软件,要是不正当用,就是木马,有时善恶只在一念之间;自己的帐号都不知道丢了多少了,所以对更新快,加壳多的木马来说,手杀是最好的选择,另外,加花加壳的病毒,虽然能过杀毒软件,但是对专杀工具就没那么好过了不过专杀出来也是要时间的,所以我们一定要学会用冰刃 syschenk这样的工具发现系统慢了,就用这些工具检查系统,说不定就会有惊喜发现。
用od反汇编,在里头找个0区域,就可以在里头加了,当然需要将程序先跳转到这块区域,执行完后再跳转回原来跳转地址的下一条语句;本人用手机上网,因为字数的限制,只能列举一些工具软件,使用步骤就参照软件说明,做免杀有加壳加密,加花,更改入口点,常见的加壳程序有骑事狂壳,北斗加壳,Aspack,加密程序MaskPE加花程序超级加花器,更改入口点程序PEditor。
制作免杀木马的过程包括以下步骤首先,创建一个未被壳保护的木马程序使用反汇编工具OD,定位程序的入口点并记录其内存地址找到程序中的零区域,即空白区域,插入花指令代码,从零区域的起始地址开始逐行写入准备好的花指令,确保其正确插入写完花指令后,添加一条跳转指令,将其跳转回OD载入时的;myccl特征码修改工具,maskpe, aspack, aps木马免杀加密工具 c32asm expreessor maskpe mycllvi1build58 peditor peid poiycryptpe svkp vmprotect 北斗 超级加花器 restorator。
第五步花指令写完后,在花指令的结束位置加一句JMP 刚才OD载入时的入口点内存地址第六步保存修改结果后,最后用PEditor这款工具打开这个改过后的木马程序在入口点处把原来的入口地址改成刚才记下的零区域的起始内存地址,并按应用更改使更改生效三加花指令免杀技术总节1优点通用性;黑客为了让木马程序不被杀毒软件查杀,会通过各种方法对它进行修改或伪装,也就是进行免杀处理目前常见的免杀方法有加壳加花指令修改特征码变换入口点入口点加密等同时当前主流的杀毒软件都采用了复合特征码,因此很多时候通过一种方法很难达到免杀效果,这时需要几种方法配合才能起到免杀效果。
加花是病毒免杀的常用手段,加花原理就是通过添加加花指令一些垃圾指令,类似加1减1之类的无用语句让杀毒软件检测不到特征码加花可以分为加区加花和去头加花只做了解,不做解释特征码修改 加花以后一些杀毒软件就认不出来了,但有些比较强的杀毒软件,像卡巴斯基这类,可能还是会被杀。
就是木马免杀的一种方法可以在那病毒查杀时将木马程序首尾颠倒,使杀毒软件无法分析出病毒结构影响杀毒;因此,加花只能算是免杀技术中最基础的层次,对于高级的防护措施,杀毒软件通常会有更高的应对机制。
呵呵 加花的效果是在修改了一定量的特征码之后才会有明显的效果 直接用加花就免杀也有,但是一般式vip的 不要想着一下就学会免杀 要慢慢的来 推荐apk加花免杀工具你先学习基本的特征码免杀,再逐渐的学习其他的;这要看实际情况了不是有句话叫“不管黑猫还是白猫能抓老鼠的就是好猫”加花和加壳都可以在百度上搜索到这里就再废话一下了加花就是在特征码处代码转移到其他空白的地方然后再在刚才的特征码处加上跳转指令跳到转移的那个空白地方其实就是跳来跳去的花估计在这里就是花哨的意思吧。
发表评论