很多菜鸟朋友都会问?我没有任何汇编基础,能学会免杀并且熟练吗?
答案是能。那么作为一个没有任何基础的菜鸟应该如何去学习免杀呢?经过几天的时间总结了一些经验,在新年之际分享给各位网络技术爱好者。
学习免杀首先必须熟悉汇编指令,如何你没有基础,只须暂时把它们的大概意思给记住,然后在做免杀修改的时候可参照汇编指令表进行修改,这里必须花大量时间熟悉,对你学习免杀大有作用,基础打劳以后呢开始接触免杀……
免杀呢通俗的说就是反杀软技术,那么杀软又称反毒病,那免杀我们一般叫作反反病毒技术,从字面上理解也很简单,那么杀软的查杀方式有很多,最主要的也是所有杀软通用的就是木马的表面查杀,也就是当你下载一个木马时直接对它进行查杀,那么这样的查杀方式是利用杀软的表面查杀;那么还有呢就是内存查杀,这也是很多杀软都拥有的查杀方式,它呢是在你下载一个木马的时候,并且把木马运行在系统当中以后,再使用杀软进行内存的扫描,那么这么查杀方式呢就称内存查杀;主动防御,那么这种方式简单的说也就是防止木马运行到系统的一个查杀方式,当你的木马在没有做主动防御免杀的情况下运行,那么杀软就会拦截你的木马,阻止其运行,这种查杀方式呢就是所谓主动防御。
从上面杀软的几种查杀方式来看,免杀并不是一件简单的事,在做木马免杀时,同时得对它的表面、内存、主动都进行免杀。所以,准备学习免杀的朋友必须做好充分的准备,学习免杀呢,方法应该说都是很简单的,但是呢,在学习免杀的时候会常常遇到一些这样那样的问题,这时候你就必须得花时间思考,花时间研究,有时候一个很简单的问题可能花费你一天两天的时间,那么有些朋友呢就选择了放弃,如果你是这样,那么可以告诉你,你永远也学不会免杀,因为免杀的过程中这种情况非常常见,只有能够经得住寂寞的人才能够更好的撑握免杀这门技术。
无论是哪一款杀软,它们之所以能够查杀木马,是因为在它们的病毒存里面已经提取好了木马文件里面的一处或多处代码视为病毒特征码,只是要存在这些特征码的文件,杀软都会将它视有病毒。那么杀软呢不是人类,它不会自动分析相似的代码,只有人工的把代码放入病毒存,它才会进行查杀,那么我们只要简单的对特征码修改,杀软就不会查杀这处代码,无论是内存还是表面,都是大同小弃,只不过找出相应的特征码的方法不同而已。
在我们找到特征码以后,那么毫无疑问的就是把它给修改掉,那么咱们把这些代码直接删除掉,这个文件的代码就不存在了杀软的病毒特征码,那么这样,杀软就自然把你的文件视为正常程序,但如果直接删除代码的话,这个文件就不完整了,会导致程序不能正常运行。那么我们要如何修改呢?我们必须把这些代码转换为功能类似的一些代码,或者把代码移走,移到其它位置,这样呢杀软就不能对你的文件进行分析,自然把你的文件视为正常程序。那么我们要如何修改?下面就给大家介绍一些常见的修改方法。
1、 直接修改十六进制法:简单的说呢就是把文件转换为十六进制,然后在十六进质里面把特征码所在的十六进制改 为 差不多的十六进质,如:4F改50、51、4E,修改后保证程序能够正常使用。
2、大小写交换法:如果你的特征码定位在字符串上,那么只需要把它们的大小写交换就可以。如:windows改WINDOWS,修改后保证程序能够正常使用。
3、换位:把你的特征码所在的代码,以前后的代码位置相互交换,当然不一定得是上下位的,它们的交换位置可以扩展到很远,但这样程序出错的可能性就更大,在能够上下交换的时候最好是上下交换,修改后保证程序能够正常运行。
4、等价替换法:把代码改为功能相同或相近的代码,这种方法修改起来很常见,所以很重要,这里大家必须熟悉汇编指令,可以对照汇编指令进行修改,一些常见的修改方法我会在下面列出,修改后保证程序能够正常运行。
5、跳转法:也就是把特征码跳到一些空白的地方运行,然后代码运行完毕后再跳回原来的程序继续运行,这样就可以达到免杀的效果,这种方法比较通用,必须撑握,修改后保证程序能够正常使用。
6、直接填充法:这种方法不是很常用,但有时候还是可以使用的,就是把特征码直接填充为00或90,这样呢这个代码等于删除了,程序不能执行的可能性比较大,但有些时候呢还是可以使用,修改后保证程序能够正常使用。
7、PE头的修改方法:这里呢如果特征码定位在文件PE头那么它有它的修改方法,不能随意的修改,会出错,修改后保证程序能够正常使用。
8、函数表修改:它也有它的修改方法,如果前移后移,NOP填充,重建等,修改后保证程序能够正常使用。
9、入口点修改:这种方法很简单,利害用一些工具如:PEditor、LordPEt等直接在程序入口点加1或差不多的数,这种呢对金山比较有效,当然并不是说简单的修改就可以免杀了,你必须结合特征码修改,修改后保证程序能够正常使用。
10、入口点加花:在程序入口点的地方加一段花指令,打乱程序的代码,阻止杀软分析,这里也得结合其它的方法一起使用,方能达到免杀效果,修改后保证程序能够正常使用。
11、加壳加花加密:这种方法很简单,利害工具就可以,工具的使用也很简单,修改后保证程序能够正常使用。
12、加壳改壳:很多壳在发布以后都会被杀软查杀,当然可以找一些冷门壳,但是它们免杀也是不长久的,我们有这壳,杀软公司更有,他们会想方设法的查杀,这样我们就可以改壳,只要在程序加壳后,把壳的内容简单修改就能达到免杀效果,这种方法很实用,修改后保证程序能够正常使用。在进行免杀时,必须把这些方法结合使用,如果你能够熟练撑握这些方法,那么免杀对你来说已经不是大问题了。网上有些人说哪些免杀方法是不合理的,我只能这样说,只要修改以后,能够达到免杀的效果,而且程序能够正常的使用就是一种好的免杀方法,没有什么对与错,合理不合理,免杀是多式多样的,不是1+1=2。
本站来自江南网盟jnwm.orgjnwm.org
