研究免杀请看

研究

研究免杀请看
对于花指令:好多朋友都在满世界的找一些所谓的免杀的花指令.可是你在网上找到的都是一些以经公开了的.早就被杀了.就算暂时不杀.但是他的免杀期并不是由你来控制的.因为你也不知道哪一天会被杀软追杀.其实花指令在木马免杀中的作用就是干扰其正常的查杀顺序,对于一个木马来说如果是单一特征码的话,你加了花指令还杀的话.我想杀的也是花指令中的一处代码.那你完全可以在定位这个木马.查看是不是特征码以经在花指令上边了..(一般情况下都是这样的)如果在的话那就太好改了.因为花指令本身就是废话指令.无外呼就是来回的跳转.来回的压入,弹出.捎微掌握点汇编知识就能搞定了.
对于国产的杀软好多都是你把木马文件的头部转移了,就可以免杀了!!

对于加壳.因为有些壳加了木马就不能用了.有些呢..因为大家都用.所以也以经被杀了.可是杀也是杀他的壳..
对于卡吧.NOD32.诺顿等一些比教强的杀毒软件他强处之一就是他有很强的脱壳能力,就是他可以先把你的壳脱掉在来查杀木马.所以我要是给木马加壳的话就是找一些新壳,然后先加一道壳.在载入freeRES中释放资源.然后在加一道.不行就用同样的方法,在叫一道..但是就这样也不一定能过了杀毒.
好用的壳北斗.小辉的PE加密..

更改特征码:我认为做免杀的正道还是更改特征码免杀,木马的特征码都该完了后在找两个好壳加上.那你在看看免杀长不长吧.
在做定位免杀时也不能只更改你定位出来的那个特征码.你要看程序的整体汇编含意是什么,

比如:你定位的特征码在
卡吧 [特征] 0000B585_00000003 转内存地址:    0040B585
OD载入找到卡吧特征码的位置是
0040B57C |. E8 7F89FFFF  CALL 木马.00403F00
0040B581 |. 8BD0 MOV EDX,EAX
0040B583 |. B9 08BC4000  MOV ECX,木马.0040BC08       ; ASCII "KpopMon"
0040B588 |. B8 02000080  MOV EAX,80000002
也就是说0040B585是0040B583指令中的一部份.(这个要是不明白我就没话可说了)
那你就看0040B583 处的指令是什么意思..
是把0040BC08处的ASCII "KpopMon"传送到寄存器ECX里.那这段你要是改的话就要到0040BC08地址处去调整他的位置.然后在回来把0040B583的指针调整就可以了.

还可以怎么改.在看0040B57C |. E8 7F89FFFF  CALL 木马.00403F00
实际上现在的杀毒公司定位的特征码大部分都在CALL和JMP..上边
CALL是过程调用指令
那刚才那段OD中的指令你往上看还可以看到
0040B57C |. E8 7F89FFFF  CALL 木马.00403F00
这句就是0040B57C调用00403F00中的指令.

其中CALL 木马.00403F00的位置查看00403F00的位置是
00403EFF  90    NOP
00403F00 /$ 85C0 TEST EAX,EAX
00403F02 |. 74 02 JE SHORT kk_.00403F06
00403F04 |. C3    RETN
00403F05 |  00    DB 00
00403F00上面是NOP.那你就可以把
0040B57C |. E8 7F89FFFF  CALL 木马.00403F00的指针调整为
0040B57C |. E8 7F89FFFF  CALL 木马.00403EFF
这样也能免杀.而且还没有改变堆栈平衡..其他的功能也决对不会有什么变化

所以做免杀一定要掌握的就是汇编指令的含意.这个很简单并不是要你去完全的学会汇编的