|
以下是本人看了许多教程和免杀文章整理总结的一些关于免杀的心得、方法很多,不方便全部概述出来。提取出一些常用的方法~
【加壳免杀】
直加壳做免杀.这就不多说了.地球人都会,最好用冷门壳做保护!
加密壳会使程序体积增大..免杀效果还不错.
压缩壳可以减小程序体积.但是很少可以免杀卡巴这类杀毒软件
单单加壳只能做到表面免杀!一般与花指令、改入口点、改特征码结合使用效果较佳!
【加花指令免杀】
方法:用OD加载服务端,记下入口点的内存地址,找零区域,记下零区域的起始内存地址,从这个零区域的起始地址开始一句一句的写入花指令代码,保存生成新服务端,用改入口点工具修改至加花地址!
【改入口点免杀】
免杀原理:杀毒软件一般都检测病毒还原之后的代码,而且一般都把代码开始前40个字节作为特征值。因此,入口点改变了,说明也就破坏的特征码,这样就达到免杀的效果!
方法一:用改入口工具加载无壳服务端,在入口点地址数后+1,应用更改。
评论:一般杀毒软件都能躲过,但通常还是被卡巴查杀,同时也不能过内存查杀,但结合加花指令,加壳等等方法,效果将非常不错.
方法二:变换入口地址法免杀:用OD加载无壳服务端,把入口点的开始两句代码(一般为push ebp mov ebp,esp)移到零区域,并记下那个零区域的内存地址,在后面加一句跳转命令:JMP 到第三条指令的地址,然后修正并保存成新服务端,用改入口点工具打开生成的新服务端,把入口点改成刚才在零区域记下的内存地址。
评论:一般用此针对特征码定位在头部的杀毒软件
以后还可以结合加花指令、加壳、改特征码来做完美免杀效果。
【改文件特征码免杀】
方法一:用myccl准确定位文件和内存特怔码,用OD打开文件,找到特怔码所在位置,把特征码移到零区域,然后用JMP跳回来执行(方法之一)
方法二:用myccl准确定位文件和内存特怔码,用UE或者C32打开文件,把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了。(注意:特征码所对应的内容必需是字符串,否则不能成功!)
以上是免杀最常用到的方法和总结.一般免杀分为三部份.以下为示意图:
第一部份 第二部份 第三部份
‖========================================================‖
方法一: ‖加壳 ‖ 加花 ‖ 改特征码 ‖
‖========================================================‖
方法二: ‖加花 ‖ 加壳 ‖ 改特征码 ‖
‖========================================================‖
方法三: ‖改特征码 ‖ 加花或者加壳 ‖ 加花或者加壳 ‖
‖========================================================‖
方法四: ‖入口+1 ‖加花or加壳or改特征码‖ 加花or加壳or改特征码 ‖
‖========================================================‖ |
|