- 帖子
- 104
- 积分
- 239
- 威望
- 254
- 金钱
- 147
- 在线时间
- 30 小时
|
| 连载| 免杀教程(从初级到高级)适合新手和进阶
由于最近在忙于办理出国材料 所以很长时间没有来论坛
这些是我整理的教程中的部分,关于免杀的 我将会分批上传 一次到3~5个教程
这些教程适合刚刚学习免杀新人 希望对大家比较有帮助 也希望为论坛拉些人气
希望大家多支持3AST
不喜欢回复可见 所以没有设定 就是为了大家方便知道内容,所以大家不要恶意灌水
看完觉得好的朋友留言鼓励一下就好 感觉有什么不好的地方可以和我提意见 我会认真采纳
下面是关于免杀的一些介绍希望大家看看 会有帮助的
关于免杀:http://baike.baidu.com/view/706274.html?wtp=tt 摘自百度
杀毒软件的查杀模式
这三种是目前杀毒软件常用的杀毒模式。
1. 文件查杀
文件查杀相对较强的就是卡巴和金山了
杀毒软件对磁盘中的文件进行静态扫描,一旦发现文件带有病毒库中的病毒特征代码就给予查杀
2. 内存查杀
瑞星杀毒
杀毒软件把病毒特征代码释放到内存中,然后与内存中的文件进行比对,发现有文件中带有病毒特征代码就给予查杀。
3. 行为杀毒
杀毒软件用木马运行后的一些特定的行为作为判断是否为木马的依据。
木马免杀技术常用方法
1.加壳免杀
大家应该都会,建议你选择一些生僻壳、强壳、新壳,或者加多重壳。
2.修改壳程序免杀
主要有两种:一是通过加花指令的方法把壳伪装成其它壳或者无壳程序。
二是通过reloc类软件修改壳的区段入口点。
3.修改文件特征代码免杀
此方法的针对性是非常强的,就是说一般情况下你是修改的什么杀毒软件的特征代码,那么就只可以在这种杀毒软件下免杀。主要方法是:直接修改法 和 跳转修改法。其中跳转修改法可以用一些软件来做到,比如:vmprotect ,我给用工具实现跳转修改法,取了一个新名字叫:加密修改法。
4.加花指令免杀
此方法通用性强,而且效果好。主要有两种:加区加花 , 去头加花 和 多重加花。
5.修改内存特征代码
目前内存杀毒的杀毒软件强的并不多。比如:KV 虽然有内存杀毒但是它的内存病毒库是非常弱的,基本没有什么东西。卡巴斯机 的内存杀毒其实不是真正意义上的内存杀毒,大家可以测试,木马在卡巴斯机下一旦文件免杀,内存也就免杀了。
内存杀毒强的我个人认为还是我们国内的杀毒软件瑞星。
修改内存特征代码对于初学免杀的朋友来说,难点应该是在内存特征代码定位上。
6. 阻止杀毒软件扫描内存,只是一个思路,可能要编程来实现。
下面是教程下载地址:
免杀教程一:http://www.namipan.com/d/39e62c6 ... 06a5f6135e48c006300
免杀教程二:http://www.namipan.com/d/a05d55b ... bf08b4ced609a245000
免杀教程三:http://www.namipan.com/d/39e62c6 ... 06a5f6135e48c006300
特别鸣谢:黑蝙蝠网安
[ 本帖最后由 Annihilation 于 2009-5-11 12:21 编辑 ] |
|