木馬的免殺[基礎]

一.關于免殺的來源

為了讓我們的木馬在各種殺毒軟件的威脅下活的更久.

二.什么叫免殺和查殺

可分為二類:

1.文件免殺和查殺:不運行程序用殺毒軟件進行對該程序的掃描， 所得結果。

2.內(nèi)存的免殺和查殺:判斷的方法1>運行后,用殺毒軟件的內(nèi)存查殺功能.

                                          2>用OD載入,用殺毒軟件的內(nèi)存查殺功能.

三.什么叫特征碼

1.含意:能識別一個程序是一個病毒的一段不大于64字節(jié)的特征串.

2.為了減少誤報率,一般殺毒軟件會提取多段特征串,這時,我們往往改一處就可達到

免殺效果,當然有些殺毒軟件要同時改幾處才能免殺.(這些方法以后詳細介紹)

3.下面用一個示意圖來具體來了解一下特征碼的具體概念

四.特征碼的定位與原理

1.特征碼的查找方法:文件中的特征碼被我們填入的數(shù)據(jù)（比如0）替換了， 那殺毒軟

件就不會報警， 以此確定特征碼的位置

2.特征碼定位器的工作原理:原文件中部分字節(jié)替換為0， 然后生成新文件， 再根據(jù)殺

毒軟件來檢測這些文件的結果判斷特征碼的位置

五.認識特征碼定位與修改的工具

1.CCL(特征碼定位器)

2.OOydbg (特征碼的修改)

3.OC用于計算從文件地址到內(nèi)存地址的小工具.

4.UltaEdit-32(十六進制編輯器,用于特征碼的手工準確定位或修改)

六.特征碼修改方法

特征碼修改包括文件特征碼修改和內(nèi)存特征碼修改， 因為這二種特征碼的修改方法

是通用的。 所以就對目前流行的特征碼修改方法作個總節(jié)。

方法一:直接修改特征碼的十六進制法

1.修改方法:把特征碼所對應的十六進制改成數(shù)字差1或差不多的十六進制.

2.適用范圍:一定要精確定位特征碼所對應的十六進制,修改后一定要測試一下能

否正常使用.

方法二:修改字符串大小寫法

1.修改方法:把特征碼所對應的內(nèi)容是字符串的,只要把大小字互換一下就可以了.

2.適用范圍:特征碼所對應的內(nèi)容必需是字符串,否則不能成功.

方法三:等價替換法

1.修改方法:把特征碼所對應的匯編指令命令中替換成功能類擬的指令.

2.適用范圍:特征碼中必需有可以替換的匯編指令.比如JN,JNE 換成JMP等.

如果和我一樣對匯編不懂的可以去查查8080匯編手冊.                    

方法四:指令順序調(diào)換法

1.修改方法:把具有特征碼的代碼順序互換一下.

2.適用范圍:具有一定的局限性,代碼互換后要不能影響程序的正常執(zhí)行

方法五:通用跳轉法

1.修改方法:把特征碼移到零區(qū)域(指代碼的空隙處),然后一個JMP又跳回來執(zhí)行.

2.適用范圍:沒有什么條件,是通用的改法,強烈建議大家要掌握這種改法.

七.木馬免殺的綜合修改方法

文件免殺方法：

1.加冷門殼

2.加花指令

3.改程序入口點

4.改木馬文件特征碼的5種常用方法

5.還有其它的幾種免殺修改技巧

內(nèi)存免殺方法：

修改內(nèi)存特征碼：

方法1>直接修改特征碼的十六進制法

方法2>修改字符串大小寫法

方法3>等價替換法

方法4>指令順序調(diào)換法

方法5>通用跳轉法