关于远控免杀的一些经验

jlyckong00

大家好，现在是20号凌晨3点，很晚了。到此时为止，我长达3周的免杀路程，终于圆满结束。
     很疲惫，很以外，如此枯燥的免杀之路，我居然能够坚持下来。
     也很高兴啊，基本上常见的杀软都过掉了，所有的带主动防御的杀软（360，微点，瑞星，卡巴安全部队，金山卫士）也都过了，江民没授权，所以没有测试，估计也能过。下一阶段我的目标是踏踏实实学好C++。
     废话说了很多，下面谈谈这段时间免杀的一些经验吧:）
     因为有些基础，所以我是从GH0ST源码免杀开始学的，正好网上有很多这方面的教程，呵呵~~
     容易免杀的的杀软就不说了，比如金山，不是看不起它，因为它确实垃圾。
     首先说说卡巴，也许你觉得卡巴容易啊，免杀了DLL和DAT，再加个延迟就过了。但是我不觉得，这样可能仅仅过了卡巴杀毒软件，但是在卡巴安全部队是不能运行的。卡巴安全部队里面有个HIPS功能，你如果是加了延迟代码才过了卡巴，那么实际上是没有完全免杀的，在装有安全部队的系统上运行时就直接禁止了，看下原来是提示木马，禁止了所有操作。所以建议不加延迟过卡巴。
     然后是NOD32，主要杀输入表函数，而且特征很多，定位的时候容易死循环或者全杀，所以免杀定位的时候可以在源码里面删减功能，减少特征码，便于定位，免杀完毕后再逐渐添加功能，再免杀。
     再然后就是红伞了，更加难定位，困扰我很久，因为一般过了NOD32基本上就过了大多数杀软的表面，但是红伞是例外，所以我结合汇编去免杀，首先就PE头移位，然后重建输入表，再去定位，这样下来就容易多了，大家可以试试。
     最后是360杀毒2.0，也比较麻烦，一个一个引擎的来免杀吧~~,最难就是QVM引擎，不过如果你过了红伞就容易多了，至少特征码会少很多。再不行就用体积法吧，呵呵。
     至于主动防御，其实方法是有的，关键是大家要多动脑筋啊，具体就不说了。给个思路给大家，为什么有些软件既写注册表，又建服务，甚至有些去广告，或者加壳的非正版软件都不提示或者报木马，不知道你们想过这个问题没有？所以尽量把木马做的像正常的软件，但是又要做到隐蔽性好，打个“擦边球”吧~~
     比如我前几天想：360断网后就基本上主动废了，这个大家都知道，问题是你一改断网的，它就报警，于是方案来了：很多用户是用星空极速上网的，360你自保能力强大，我承认，不过我K掉“星空极速”总成吧~~~，够天马行空的想法吧！我这一提示，估计大家想法都来了，比如搞个防火墙专门断360的网络，搞个代理啊什么的，呵呵！！！！
     写了这么多，我始终坚信：授人予鱼，不如授人予渔。希望大家支持一下，觉得对你有用，回贴鼓励下吧。
     这年头，写贴不容易，公布过主动的方法更不容易，不知道能不能加点积分，这么久还是见习成员，哎。。。。。。

萧莫莫。

木有想到52还有这样的人才。

hxq7312

这是经验贴