何谓免杀

原创 2007年09月30日 14:13:00

3b68c957

免杀,顾名思义就是说避免被杀毒软件查杀!
免杀的方法也有很多种,针对不同的情况我们运用不同的免杀方法。
⒈文件免杀:加花/修改文件特征码/加壳/修改加壳后的文件。
⒉内存免杀:修改特征码。
⒊行为免杀。
现在我来揭开免杀神秘的面纱。(这里不对免杀做深入讨论,只对原理进行分析,毕竟这不是黑客教程)
加花
加花是病毒免杀的常用手段,加花原理就是通过添加加花指令(一些垃圾指令,类似加1减1之类的无用语句)让杀毒软件检测不到特征码。加花可以分为加区加花和去头加花。(只做了解,不做解释)
特征码修改
加花以后一些杀毒软件就认不出来了,但有些比较强的杀毒软件,像卡巴斯基这类,可能还是会被杀,这时就要定位特征码修改了,要修改特征码,就要先定位杀毒软件的病毒库所定位的特征码,这个有一定难度,特别是复合特征码的定位,但复合特征码虽然增加了定位特征码的难度,但复合特征码也有它的弱点,因为定义复合特征码需要单个特征码几倍的病毒库,不方便用户的病毒库升级,所以除了特别流行的病毒,杀毒软件厂商并没有做太多的复合特征码。
定位了特征码之后就应该修改特征码了,主要方法有两种:直接修改法,跳转修改法。
直接修改法利用的是等效指令替换,或者指令顺序的改变不影响执行的效果。还有一种是如果特征码是ASCll码,可以直接修改大小写,大写替换小写,小写替换大写。
跳转修改发比较简单,主要原理是把有特征码的那段NOP掉,然后把NOP掉的那段语句写入空白的0000区,在通过JMP跳转连接起来,让杀毒软件找不到特征码,从而达到免杀的目的。

加壳
加壳的原理是给原程序加上一段保护程序,有保护和加密功能,运行加壳后的文件先运行壳再运行真实文件,从而起到保护作用。

脱壳当然就是去掉保护程序




想要加壳后能达到免杀的效果

那就要加最新的免杀壳!!!! 

现在主流免杀是源码免杀

一、文件特征码定位:  一般我们先用MyCCL把被查杀文件的文件特征码定位出来,然后用C32判断定位出来的这个特征码是代码还  是字符串,或者是输入表、输出表、版权信息等…定位在不同的地方,就要用...
  • zhu2695
  • zhu2695
  • 2013年09月30日 22:28
  • 2943

[转]易语言 360免杀方法心得总结

易语言有一些命令是一定会被拦截的。比如访问网页,文件读写。 因为白名单系统,特征码修改的方法变的越来越鸡肋了。 推荐自己的方法。 1.源码定位,首先删减源码,然后编译,如果报毒,继续...
  • Exiaoyin
  • Exiaoyin
  • 2016年07月11日 16:22
  • 3703

Android App 免杀教程

如何让你的app一直在运行状态呢? 默认情况下,不做任何跨进程部署配置的话,每个android app运行在单独一个虚拟机上,每个虚拟机对应一个进程。当app被系统回收或者是被用户主动杀掉(通...
  • qq_31387043
  • qq_31387043
  • 2016年06月28日 11:37
  • 3051

免杀!第三课 免杀前奏+特征码定位…

OK!大家好,我是BlackTea,今天是免杀的前奏,也是我们窥破免杀秘密的第一步。   额。。。究竟神马是免杀呢? 免杀呢,就是,可以将其看为一种能使病毒木马避免被杀毒软件查杀的技术。但是不得不客...
  • bestBT
  • bestBT
  • 2015年05月10日 19:33
  • 732

免杀后门之MSF&Veil-Evasion的完美结合

本文由“即刻安全”投稿到“玄魂工作室” Veil-Evasion 是 Veil-Framework 框架的一部分,也是其主要的项目。利用它我们可以生成绕过杀软的 payload !kali ...
  • xuanhun
  • xuanhun
  • 2016年10月15日 09:28
  • 4762

使用MSF生成的shellcode打造免杀payload

环境: 1.Kali攻击机IP:192.168.114.140 2.使用win7生成exe 步骤: 使用msfvenom生成shellcode : msfvenom -pwindows/meter...
  • MickeyMouse1928
  • MickeyMouse1928
  • 2017年05月04日 12:10
  • 2686

详谈 vc++源码免杀全套思路方法

首先说中国国内杀毒软件的特征 。 1  金山毒霸 ,我个人觉得杀的代码部分和字符串还是比较普遍的 。输入表函数 我个人不多见 。 2  瑞星 ,经实战经验 ,瑞星杀毒软件是垃圾。 过掉金山...
  • immortal_mcl
  • immortal_mcl
  • 2013年09月10日 23:03
  • 1920

《黑客免杀攻防学习笔记》——小结

《黑客免杀攻防》看得差不多了,关于诸如花指令等其他免杀技术以及Rootkit的内容没有看。Rootkit另外买了一本书,想着两部分结合在一起看效果可能会好一些。这里就针对自己看过的一些内容做一下总结。...
  • wuyangbotianshi
  • wuyangbotianshi
  • 2013年12月24日 16:23
  • 942

《黑客免杀攻防学习笔记》——MFC初探

转载请注明出处http://blog.csdn.net/wuyangbotianshi 注:下面文章中谈到的作者都是《黑客免杀攻防》的作者,并不是本文的作者。 由于之前的C++逆向知识比较简单,所...
  • wuyangbotianshi
  • wuyangbotianshi
  • 2013年12月21日 09:39
  • 2277

Python写黑客小工具,360免杀

构思: client:反向连接server,执行shell命令 server:发送命令,控制客户端 import subprocess import socket import thre...
  • qq_24949727
  • qq_24949727
  • 2015年12月31日 16:07
  • 621
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:何谓免杀
举报原因:
原因补充:

(最多只允许输入30个字)