分享木马免杀的几个绝招
分享木马免杀的几个绝招操作步骤:
第一步:用OD载入,来到程序的入口点。
第二步:把入口点的第一句PUSH EBP 改成POP EBP 然后保存就可以躲过瑞
星的表面查杀。
绝招二:快速定位与修改瑞星内存特征码
原理:因为目前的内存查杀杀毒软件,只有瑞星才能威胁到我们的木马。也就是说
只要搞定瑞星的内存查杀,那我们的木马在内存就畅通无阻了.
但由于技术原因,目前瑞星的内存特征码在90%以上把字符串作为病毒特征码,
这样对我们的定位和修改带来了方便.
操作步骤:
第一步:首先用特征码定位器大致定位出瑞星内存特征码位置.
第二步:然后用UE打开,找到这个大致位置,看看,哪些方面对应的是字符串,用0替
换后再用内存查杀进行查杀.直到找到内存特征码后,只要把字符串的大
小写互换就能达到内存免杀效果.
绝招三:如何快速躲过诺顿的查杀
诺顿的查杀特点:大家有时候会发现,通过改特征码,加花指令,改内存特征码,等
等,卡巴,江民,金山,瑞星都过了,但无论如何都过不了诺顿,这时候是不是感到很纳
闷.其实诺顿特征码的定义和其它杀毒软件不一样,其它杀毒软件的特征码都在代码
段而只有它把特征码定义在PE头文件里面.而在头文件里面,一般都用字符串作为病
毒特征码,知道了原理,就有下面的二种方法来应付.
方法一:只要把头文件的字符串的大小字互换一下就可以搞定了.
方法二:有二款压缩软件WinUpack和北斗星,经过他们的压缩,会把我们的木马程序
的头文件改的面目全非.所以把我们的木马做好其它的杀毒软件的免杀后,
再用这二款压缩软件的压缩就可以躲过诺顿的查杀.
绝招四:一个不太通用的免杀方法
现在免杀成了黑客的基本功
免杀方法一:把入口点第三句开始的几行(20字节内)汇编代码移到零区域去执行,
也达到一定的免杀效果.
绝招五:用VC++加了花指令后入口点下移法
操作过程:加花指令后,可以把入口点下移好一位,这样可以进一步达到免杀效果. 顶````````````````````:) :) 把入口点第三句开始的几行(20字节内)汇编代码移到零区域去执行,
貌似现在这个不行了。
杀毒软件变聪明了、、。 好像對於我新手來說太複雜了 第二个说的还不错 不过对于多特征码文件 第一个是不行的
尤其是瑞星 {m:m (48):m}学习了,LZ辛苦了
页:
[1]