免殺壓縮殼

1. 什麼是 免殺

1免殺的基本概念
免殺是什麼概念呢。大家對這個應該有個自己的定義吧。我是把免殺認為通過一些手段使我們的木馬讓殺毒軟體無法查殺，這就是免殺。也是我對免殺的定義。
2.免殺技術的分類
免殺技術分為文件免殺、內存免殺、行為免殺，加殼免殺、加花免殺、修改特徵碼免殺。
文件免殺、內存免殺、行為免殺、
2.加殼免殺
為了防止被殺毒軟體反跟蹤查殺和被跟蹤調試，同時也防止演算法程序被別人靜態分析。最基本的隱藏：不可見窗體＋隱藏文件。殼又分為壓縮殼和加密殼。壓縮殼一般壓縮加殼程序，通常壓縮後的文件大小隻有原來的50%-70%但不影響程序的正常使用和所有功能。加密殼是用上了各種反跟蹤技術保護程序不被調試、脫殼等，其加殼後的體積大小不是其考慮的主要因素。
3
加花免殺
什麼是花指令？實際上，把它按照「亂指令」來理解可能更貼切、
就是故意將錯誤的機器指令放在了錯誤的位置，那反匯編時，就有可能連同後面的數據一起錯誤地反匯編出來，這樣，我們看到的就可能是一個錯誤的反匯編代碼。這就是「花指令」，簡而言之，花指令是利用了反匯編時單純根據機器指令字來決定反匯編結果的漏洞。
4
修改特徵碼免殺、
因為殺毒軟體查殺就是自己的病毒庫和木馬的特徵碼對比，如果相同的話就判斷它是木馬，當然我們只要改掉這些代碼就可以免殺了。這就是修改特徵碼免殺。

2. 請問什麼是壓縮殼

壓縮殼是一種對EXE文件的數據壓縮及加密保護，可以將EXE文件壓縮成自我解壓文件，並能隱藏解壓進程。

在免殺技術里所謂的殼與偽裝殼其實就是壓縮與外層數據偽裝，其實是利用特殊的演算法，對可執行文件與DLL文件里的資源進行壓縮與對文件的描述、版本號、創建日期、修改軟體、系統運行需求等外層數據進行偽裝。

(2)免殺壓縮殼擴展閱讀：

壓縮殼邏輯：

1、MFC實現的UI交互部分：展示殼的功能，獲取被加殼程序的路徑，顯示加殼進度。

2、加殼功能Pack導出為一個dll，MFC部分動態載入。

3、殼的本體Stub，把數據段、只讀數據段合並到代碼段，添加到被加殼程序的最後。

壓縮代碼段，大概思路：通過.text段頭表找到.text段，調用壓縮庫壓縮。申請內存空間，大小=PE頭+已壓縮.text+其他區段。依次從內存空間把文件拷貝過去：PE頭、已壓縮.text段、其他區段，重組PE文件。同時，修改.text的SizeOfRawData、修改其他區段的PointerToRawData。

3. 木馬免殺殼 殺加殼 變態殼是什麼意思都還有什麼殼

-
-!!
殼分兩種一種是保護殼（如加密等等）另一種是壓縮殼（壓縮文件大小）
現在的殼基本都被殺了。就算過了也只能過殺軟表面！那些什麼變態殼什麼的只是個名字。
要學免殺還是先學定位修改特徵碼！

4. DLL360免殺怎麼弄

需要用易語言編寫dll結合bat運行繞過360免殺。
1、源碼定位，首先刪減源碼，然後編譯，如果報毒，繼續刪減，直到不報毒為止，定位出報毒的子程序。
2、在敏感代碼前後，子程序前後，添加大量無意義的不報毒命令。
3、編譯後替換資源，建議替換360相關產品（非殺毒衛士）下帶證書的資源，最好是dll文件，越大越好。
4、壓縮殼或者加密殼，建議upx壓縮殼最高壓縮。
垃圾代碼最好寫成那種運算速度快的，否則會對你軟體的運行速度造成影響。

5. 免殺的方法

一.入口點加1免殺法:

1.用到工具PEditor
2.特點:非常簡單實用,但有時還會被卡巴查殺]
3.操作要點:用PEditor打開無殼木馬程序,把原入口點加1即可

【二.變化入口地址免殺法:】

1.用到工具:OllyDbg,PEditor
2.特點:操作也比較容易,而且免殺效果比入口點加1點要佳.
3.操作要點:用OD載入無殼的木馬程序,把入口點的前二句移到零區域去執行,然後
又跳回到入口點的下面第三句繼續執行.最後用PEditor把入口點改成零區域的地址

【三.加花指令法免殺法:】

1.用到工具:OllyDbg,PEditor
2.特點:免殺通用性非常好,加了花指令後,就基本達到大量殺毒軟體的免殺.
3.操作要點:用OD打開無殼的木馬程序,找到零區域,把我們准備好的花指令填進去
填好後又跳回到入口點,保存好後,再用PEditor把入口點改成零區域處填入花指令的著地址.

【四.加殼或加偽裝殼免殺法:】

1.用到工具:一些冷門殼,或加偽裝殼的工具,比如木馬綵衣等.
2.特點:操作簡單化,但免殺的時間不長,可能很快被殺,也很難躲過卡巴的追殺
3.操作要點:為了達到更好的免殺效果可採用多重加殼,或加了殼後在加偽裝殼的免殺效果更佳

【五.打亂殼的頭文件或殼中加花免殺法:】

1.用到工具:秘密行動 ,UPX加殼工具.
2.特點:操作也是傻瓜化,免殺效果也正當不錯,特別對卡巴的免殺效果非常好
3.操作要點:首先一定要把沒加過殼的木馬程序用UPX加層殼,然後用秘密行動這款
工具中的SCramble功能進行把UPX殼的頭文件打亂,從而達到免殺效果.

【六.修改文件特徵碼免殺法:】

1.用到工具:特徵碼定位器,OllyDbg
2.特點:操作較復雜,要定位修改一系列過程,而且只針對每種殺毒軟體的免殺,要達
到多種殺毒軟體的免殺,必需修改各種殺毒軟體的特徵碼.但免殺效果好

[特徵碼修改方法]

特徵碼修改包括文件特徵碼修改和內存特徵碼修改，因為這二種特徵碼的修改方
法是通用的。所以就對目前流行的特徵碼修改方法作個總節。

[方法一:直接修改特徵碼的十六進製法]
1.修改方法:把特徵碼所對應的十六進制改成數字差1或差不多的十六進制.
2.適用范圍:一定要精確定位特徵碼所對應的十六進制,修改後一定要測試一下能否正常使用.

[方法二:修改字元串大小寫法]
1.修改方法:把特徵碼所對應的內容是字元串的,只要把大小字互換一下就可以了.
2.適用范圍:特徵碼所對應的內容必需是字元串,否則不能成功.

[方法三:等價替換法]
1.修改方法:把特徵碼所對應的匯編指令命令中替換成功能類擬的指令.
2.適用范圍:特徵碼中必需有可以替換的匯編指令.比如JN,JNE 換成JMP等.如果和我一樣對匯編不懂的可以去查查8080匯編手冊.

[方法四:指令順序調換法]
1.修改方法:把具有特徵碼的代碼順序互換一下.
2.適用范圍:具有一定的局限性,代碼互換後要不能影響程序的正常執行

[方法五:通用跳轉法]
1.修改方法:把特徵碼移到零區域(指代碼的空隙處),然後一個JMP又跳回來執行.
2.適用范圍:沒有什麼條件,是通用的改法,強烈建議大家要掌握這種改法.

木馬免殺的綜合修改方法

文件免殺方法：1.加冷門殼 2.加花指令 3.改程序入口點 4.改木馬文件特徵碼的5種常用方法
5.還有其它的幾種免殺修改技巧

【七.內存免殺方法:】

修改內存特徵碼：
方法1>直接修改特徵碼的十六進製法
方法2>修改字元串大小寫法
方法3>等價替換法
方法4>指令順序調換法
方法5>通用跳轉法

殼入口修改法
1.用到工具：壓縮殼 OD
2.特點：操作簡單 免殺效果好
3.操作步驟：首先給木馬加壓縮殼 然後用OD載入，在入口處的前15句中NOP掉某些代碼或者等價代換某些代碼

【八.輸入表免殺方法:】

[一，移位法]

1 首先用lordpe打開，目錄，導入表找到你要改的函數。比如說CommandLineA
2 記下未改前函數的thunkvalue 舉例：00062922
3 將要修改的文件用winhex等16進制形式打開，然後找到該函數的地址，比如說00062988
4 將該函數用00填充，移動到新地址如00070000
5 保存
6 將保存後的文件用lordpe打開，打開計算器，選擇16進制，00062988-00062922+00070000，計算結果修改為新的thunkvalue。保存
註：公式-> 內存地址=RAV+RAV基址 ，RAV基地址可以在LORDPE中看到.輸入表函數名前有兩個空格所以RAV的地址要減去2

[二，修改字元法]

今天定位Drat2.9卡巴特徵碼，是在輸入表上！（這時句廢話，現在卡巴基本都殺輸入表）

[特徵] 00025175_00000001 ZwUnmapViewOfSection 他的特徵碼位置是函數後面的那個00

（這個函數我在開始移動過位置，原始DAT文件的特徵碼是0002516A_00000001，同樣是函數後面的那個00）
我開始是選擇C32移動位置，LordPE修改輸入表，但是不行，後來試過OD指針移位，還是不行！CALL改JMP都不行
我發現LordPE可以修改函數名稱！便用C32將ZwUnmapViewOfSection函數後面加了個字元b（你可以隨意加字元）

由於LordPE讀取輸入表函數是從ThunkValue開始，一直到這個連續的字元串後的00處！
由於在ZwUnmapViewOfSection函數後加了個字元b，現在LordPE讀取的此處函數為ZwUnmapViewOfSectionb

此時將ZwUnmapViewOfSectionb函數後面的那個b刪除！保存下文件，這時就免殺了！

這樣一修改，在文件00025175處的16進制代碼不是00，而是62，所以卡巴就過了，而用lardPE修改後函數後，文件的輸入表的函數還是ZwUnmapViewOfSection，生成服務端可以運行！

【免殺經驗:】

1.加區,加花後,再加密,可以比較容易過卡巴----如加密工具vmprotect

脫殼過的木馬---加花指令,或加區加花---加密---加壓縮殼---再加區加花指令

2.單單加免殺花指令已經不能過卡巴,一定要配合加花後在加壓縮殼,才能起到免殺卡巴的效果.

vmprotect加密----再加花-----可過卡巴:

3.加雙層花指令免殺法----免卡巴

4.加密---007內存免----加壓 ---免卡巴或內存.

5.雙層加密(maskpE)---加壓 ----可過卡巴.

6.maskpe加密---asppack加殼 ---改入口點加1---可過卡巴

7.加密maskpe----加花或加區加花(用工具)-----加壓縮殼---免卡巴

8.北斗對黑防鴿子可加壓二次,再壓其它壓縮殼.以達免殺.

9.加過北斗殼,向上拉滾開滑鼠50多次,有一段空代碼,可以加花,轉移.

10.去頭轉移入口點---加花----加密(vmprotect) ----加壓縮==過所有殺毒

11.對付卡巴,加免殺花指令.花指令對瑞星表面查殺一般無效,一般加壓縮殼.

12.對付瑞星表面: 有些黑軟,加區,加花後被瑞星表面殺,可以這樣:先加壓過瑞星表面,然後加免殺花指令,過卡巴.

13.過瑞星表面的查殺方法: 1.加北斗內存免殺壓縮殼 2.加過瑞星表面的專用加密工具. 3.用maskPE加密工具加密 源碼免殺，要求樓主必須會編程語言，如C語言，E語言等。可以載入IDA中調試，通過修改源碼語句。

6. 請問什麼是壓縮殼

壓縮殼是一種對EXE文件的數據壓縮及加密保護，可以將EXE文件壓縮成自我解壓文件，並能隱藏解壓進程。

在免殺技術里所謂的殼與偽裝殼其實就是壓縮與外層數據偽裝，其實是利用特殊的演算法，對可執行文件與DLL文件里的資源進行壓縮與對文件的描述、版本號、創建日期、修改軟體、系統運行需求等外層數據進行偽裝。

(6)免殺壓縮殼擴展閱讀：

壓縮殼邏輯：

1、MFC實現的UI交互部分：展示殼的功能，獲取被加殼程序的路徑，顯示加殼進度。

2、加殼功能Pack導出為一個dll，MFC部分動態載入。

3、殼的本體Stub，把數據段、只讀數據段合並到代碼段，添加到被加殼程序的最後。

壓縮代碼段，大概思路：通過.text段頭表找到.text段，調用壓縮庫壓縮。申請內存空間，大小=PE頭+已壓縮.text+其他區段。依次從內存空間把文件拷貝過去：PE頭、已壓縮.text段、其他區段，重組PE文件。同時，修改.text的SizeOfRawData、修改其他區段的PointerToRawData。

7. 找高手幫忙免殺

C32 OD LordPE 偏移轉換工具OC
還有 加殼工具 加殼工具用北斗4.1就可以了 我就用 這個 還要MYCLL
MYCLL 是 定位用的
最好先學會 匯編 學匯編看看8088 就可以了

注:編寫花指令,可參考以下成雙指令,可任意自由組合.達到免殺效果.
push ebp
pop ebp
push eax
pop eax
push esp
pop esp
push 0
push 0
push 10 -------其中數字可以任意,注意與下面對應
push -10
nop -----------可任意在中間添加
與它等效的:
mov EDI,EDI

add esp,1 -------其中數字可以任意,注意以下面對應
add esp,-1
add esp,1 --------其中數字可以任意,注意以下面對應
sub esp,1
inc ecx
dec ecx
sub eax, -2 ----------其中數字可任意,與dec的個數對應
dec eax
dec eax
add eax -2 ----------其中數字可任意,與inc的個數對應
inc eax
inc eax
jmp 下一個jmp地址
jmp 下一個地址

push ebp
mov ebp,esp -------可做為花指令的開頭句

jmp 入口地址 ------跳到程序入口地址
與它效果一樣的還有(以下三個):
push 入口地址
retn
jb 入口地址
jnb 入口地址
mov eax,入口地址
jmp eax

************************************************
用北斗壓縮後----再VMProtect加密後,可過瑞星表面

1.POP 0
POP 0
2.PUSH ebp
pop ebp
3.nop ----一般插在中間
4.jmp 一下jmp的地址
jmp ...
5.add esp,1 ----數字可以改變
sub esp,1
6. add esp,1
add esp,-1
7.sub esp,1
sub esp,-1
8.push esi
push edi
9.inc ecx
dec ecx
10 sub eax,-2
dec eax
dec eax
11.(該免殺花指令經典,壓縮可運行,免卡巴)
push ebp
mov ebp,esp
pop esp
jmp 原入口點地址-

jmp XXXXXX等價於:
PUSH XXXXXX
RETN

12. 免殺卡巴的花指令:
push ebx
push ebx
push ebx
pop ebx
pop ebx
pop ebx
jmp 跳到下一個地址
add esp,1
add esp,-1
push 入口點地址
retn

*************
12.(同上)
push ebp
push esp
pop ebp
pop esp
jmp 原入口點地址
13.最新的一段萬能免殺花指令:
push ebp
push esp
pop ebp
add esp,-0C
add esp,0C
push eax
jmp入口

14.免殺花指令
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
push eax
mov eax,入口地址
jmp eax
nop
15.
jmp 改成:Jg(大於轉移),JL(小於轉移)
或改成:jb(小於轉移),jnb(大於或等於轉移)
16.寫過卡巴花指令的跳不要直接用jmp來跳,不然,要被直接殺
jmp ---直接被殺
改成
jb
jnb
或改成:
push 入口地址
retn
或改成:
mov eax,入口地址
jmp eax

17.一段免殺卡巴的花指令:
push ebx
push ebx
pop ebx
pop ebx
add esp,1
add esp,-1
push 入口地址
retn
*****************************************************************
免殺經驗:
1.加區,加花後,再加密,可以比較容易過卡巴----如加密工具vmprotect
脫殼過的木馬---加花指令,或加區加花---加密---加壓縮殼---再加區加花指
令
2.單單加免殺花指令已經不能過卡巴,一定要配合加免花後在加壓縮殼,才能起到免殺卡巴的效果.
vmprotect加密----再加花-----可過卡巴:
3.加雙層花指令免殺法----免卡巴
4.加密---007內存免----加壓 ---免卡巴或內存.
5.雙層加密(maskpE)---加壓 ----可過卡巴.
6.maskpe加密---asppack加殼 ---改入口點加1---可過卡巴
7.加密maskpe----加花或加區加花(用工具)-----加壓縮殼---免卡巴
8.北斗對黑防鴿子可加壓二次,再壓其它壓縮殼.以達免殺.
9.加過北斗殼,上向拉滾開滑鼠50多次,有一段空代碼,可以加花,轉移.
10.去頭轉移入口點---加花----加密(vmprotect) ----加壓縮==過所有殺毒
11.對付卡巴,加免殺花指令.花指令對瑞星表面查殺一般無效,一般加壓縮殼.
12.對付瑞星表面: 有些黑軟,加區,加花後被瑞星表面殺,可以這樣:先加壓過瑞星表面,然後加免殺花指令,過卡巴.

13.過瑞星表面的查殺方法:
1.加北斗內存免殺壓縮殼
2.加過瑞星表面的專用加密工具.
3.用maskPE加密工具加密
1.POP 0
POP 0
2.PUSH ebp
pop ebp
3.nop ----一般插在中間
4.jmp 一下jmp的地址
jmp ...
5.add esp,1 ----數字可以改變
sub esp,1
6. add esp,1
add esp,-1
7.sub esp,1
sub esp,-1
8.push esi
push edi
9.inc ecx
dec ecx
10 sub eax,-2
dec eax
dec eax
11.(該免殺花指令經典,壓縮可運行,免卡巴)
push ebp
mov ebp,esp
pop esp
jmp 原入口點地址-

jmp XXXXXX等價於:
PUSH XXXXXX
RETN

12. 免殺卡巴的花指令:
push ebx
push ebx
push ebx
pop ebx
pop ebx
pop ebx
jmp 跳到下一個地址
add esp,1
add esp,-1
push 入口點地址
retn

*************
12.(同上)
push ebp
push esp
pop ebp
pop esp
jmp 原入口點地址
13.最新的一段萬能免殺花指令:
push ebp
push esp
pop ebp
add esp,-0C
add esp,0C
push eax
jmp入口

14.免殺花指令
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
push eax
mov eax,入口地址
jmp eax
nop
15.
jmp 改成:Jg(大於轉移),JL(小於轉移)
或改成:jb(小於轉移),jnb(大於或等於轉移)
16.寫過卡巴花指令的跳不要直接用jmp來跳,不然,要被直接殺
jmp ---直接被殺
改成
jb
jnb
或改成:
push 入口地址
retn
或改成:
mov eax,入口地址
jmp eax

17.一段免殺卡巴的花指令:
push ebx
push ebx
pop ebx
pop ebx
add esp,1
add esp,-1
push 入口地址
retn
*****************************************************************
免殺經驗:
1.加區,加花後,再加密,可以比較容易過卡巴----如加密工具vmprotect
脫殼過的木馬---加花指令,或加區加花---加密---加壓縮殼---再加區加花指
令
2.單單加免殺花指令已經不能過卡巴,一定要配合加免花後在加壓縮殼,才能起到免殺卡巴的效果.
vmprotect加密----再加花-----可過卡巴:
3.加雙層花指令免殺法----免卡巴
4.加密---007內存免----加壓 ---免卡巴或內存.
5.雙層加密(maskpE)---加壓 ----可過卡巴.
6.maskpe加密---asppack加殼 ---改入口點加1---可過卡巴
7.加密maskpe----加花或加區加花(用工具)-----加壓縮殼---免卡巴
8.北斗對黑防鴿子可加壓二次,再壓其它壓縮殼.以達免殺.
9.加過北斗殼,上向拉滾開滑鼠50多次,有一段空代碼,可以加花,轉移.
10.去頭轉移入口點---加花----加密(vmprotect) ----加壓縮==過所有殺毒
11.對付卡巴,加免殺花指令.花指令對瑞星表面查殺一般無效,一般加壓縮殼.
12.對付瑞星表面: 有些黑軟,加區,加花後被瑞星表面殺,可以這樣:先加壓過瑞星表面,然後加免殺花指令,過卡巴.

13.過瑞星表面的查殺方法:
1.加北斗內存免殺壓縮殼
2.加過瑞星表面的專用加密工具.
3.用maskPE加密工具加密.
1.POP 0
POP 0
2.PUSH ebp
pop ebp
3.nop ----一般插在中間
4.jmp 一下jmp的地址
jmp ...
5.add esp,1 ----數字可以改變
sub esp,1
6. add esp,1
add esp,-1
7.sub esp,1
sub esp,-1
8.push esi
push edi
9.inc ecx
dec ecx
10 sub eax,-2
dec eax
dec eax
11.(該免殺花指令經典,壓縮可運行,免卡巴)
push ebp
mov ebp,esp
pop esp
jmp 原入口點地址-

jmp XXXXXX等價於:
PUSH XXXXXX
RETN

12. 免殺卡巴的花指令:
push ebx
push ebx
push ebx
pop ebx
pop ebx
pop ebx
jmp 跳到下一個地址
add esp,1
add esp,-1
push 入口點地址
retn

*************
12.(同上)
push ebp
push esp
pop ebp
pop esp
jmp 原入口點地址
13.最新的一段萬能免殺花指令:
push ebp
push esp
pop ebp
add esp,-0C
add esp,0C
push eax
jmp入口

14.免殺花指令
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
push eax
mov eax,入口地址
jmp eax
nop
15.
jmp 改成:Jg(大於轉移),JL(小於轉移)
或改成:jb(小於轉移),jnb(大於或等於轉移)
16.寫過卡巴花指令的跳不要直接用jmp來跳,不然,要被直接殺
jmp ---直接被殺
改成
jb
jnb
或改成:
push 入口地址
retn
或改成:
mov eax,入口地址
jmp eax

17.一段免殺卡巴的花指令:
push ebx
push ebx
pop ebx
pop ebx
add esp,1
add esp,-1
push 入口地址
retn
*****************************************************************
免殺經驗:
1.加區,加花後,再加密,可以比較容易過卡巴----如加密工具vmprotect
脫殼過的木馬---加花指令,或加區加花---加密---加壓縮殼---再加區加花指
令
2.單單加免殺花指令已經不能過卡巴,一定要配合加免花後在加壓縮殼,才能起到免殺卡巴的效果.
vmprotect加密----再加花-----可過卡巴:
3.加雙層花指令免殺法----免卡巴
4.加密---007內存免----加壓 ---免卡巴或內存.
5.雙層加密(maskpE)---加壓 ----可過卡巴.
6.maskpe加密---asppack加殼 ---改入口點加1---可過卡巴
7.加密maskpe----加花或加區加花(用工具)-----加壓縮殼---免卡巴
8.北斗對黑防鴿子可加壓二次,再壓其它壓縮殼.以達免殺.
9.加過北斗殼,上向拉滾開滑鼠50多次,有一段空代碼,可以加花,轉移.
10.去頭轉移入口點---加花----加密(vmprotect) ----加壓縮==過所有殺毒
11.對付卡巴,加免殺花指令.花指令對瑞星表面查殺一般無效,一般加壓縮殼.
12.對付瑞星表面: 有些黑軟,加區,加花後被瑞星表面殺,可以這樣:先加壓過瑞星表面,然後加免殺花指令,過卡巴.
13.過瑞星表面的查殺方法:
1.加北斗內存免殺壓縮殼
2.加過瑞星表面的專用加密工具.
3.用maskPE加密工具加密.

8. 免殺殼怎麼製作

如果你想學習免殺技術:1.基礎的匯編語言 2.修改工具(不指那些傻瓜式軟體).如:
OllyDbg . PEditor. C32ASM . MYCCL復合特徵碼定位器.UE .OC. 資源編輯器等.還有一些查殼 脫殼軟體(如:PEID RL脫殼機等) . 以下是常用的幾種免殺方法及工具:一. 要使一個木馬免殺，首先要准備一個不加殼的木馬，這點非常重要，否則

免殺操作就不能進行下去。

二.然後我們要木馬的內存免殺，從上面分析可以看出，目前的內存查殺，只有

瑞星最強，其它殺毒軟體內存查殺現在還不起作用所以我們只針對瑞星的內存查殺

，要進行內存特徵碼的定位和修改，才能內存免殺。

二.對符其它的殺毒軟體，比如江民，金山，諾頓,卡巴.我們可以採用下面的方

法,或這些方面的組合使用.1>.入口點加1免殺法.

2>.變化入口地址免殺法
3>.加花指令法免殺法

4>.加殼或加偽裝殼免殺法.

5>.打亂殼的頭文件免殺法.

6>.修改文件特徵碼免殺法.

第三部分:免殺技術實例演示部分

一.入口點加1免殺法:

1.用到工具:PEditor

2.特點:非常簡單實用,但有時還會被卡巴查殺.

3.操作要點:用PEditor打開無殼木馬程序,把原入口點加1即可.

二.變化入口地址免殺法:

1.用到工具:OllyDbg,PEditor

2.特點:操作也比較容易,而且免殺效果比入口點加1點要佳.

3.操作要點:用OD載入無殼的木馬程序,把入口點的前二句移到零區域去執行,然後

又跳回到入口點的下面第三句繼續執行.最後用PEditor把入口點改成零區域的地址.

三.加花指令法免殺法:

1.用到工具:OllyDbg,PEditor

2.特點:免殺通用性非常好,加了花指令後,就基本達到大量殺毒軟體的免殺.

3.操作要點:用OD打開無殼的木馬程序,找到零區域,把我們准備好的花指令填進去

填好後又跳回到入口點,保存好後,再用PEditor把入口點改成零區域處填入花指令

的著地址.

四.加殼或加偽裝殼免殺法:

1.用到工具:一些冷門殼,或加偽裝殼的工具,比如木馬綵衣等.

2.特點:操作簡單化,但免殺的時間不長,可能很快被殺,也很難躲過卡巴的追殺.

3.操作要點:為了達到更好的免殺效果可採用多重加殼,或加了殼後在加偽裝殼的

免殺效果更佳.

五.打亂殼的頭文件或殼中加花免殺法:

1.用到工具:秘密行動 ,UPX加殼工具.

2.特點:操作也是傻瓜化,免殺效果也正當不錯,特別對卡巴的免殺效果非常好.

3.操作要點:首先一定要把沒加過殼的木馬程序用UPX加層殼,然後用秘密行動這款

工具中的SCramble功能進行把UPX殼的頭文件打亂,從而達到免殺效果.

六.修改文件特徵碼免殺法:

1.用到工具:特徵碼定位器,OllyDbg

2.特點:操作較復雜,要定位修改一系列過程,而且只針對每種殺毒軟體的免殺,要

達到多種殺毒軟體的免殺,必需修改各種殺毒軟體的特徵碼.但免殺效果好.

3.操作要點:對某種殺毒軟體的特徵碼的定位到修改一系列慢長過程.

第四部分:快速定位與修改瑞星內存特徵碼

一. 瑞星內存特徵碼特點:由於技術原因,目前瑞星的內存特徵碼在90%以上把字元

串作為病毒特徵碼,這樣對我們的定位和修改帶來了方便.

二定位與修改要點:1>.首先用特徵碼定位器大致定位出瑞星內存特徵碼位置

2>.然後用UE打開,找到這個大致位置,看看,哪些方面對應的是

字元串,用0替換後再用內存查殺進行查殺.直到找到內存特徵

碼後,只要把字元串的大小寫互換就能達到內存免殺效果.

第五部分:木馬免殺綜合方案

修改內存特徵碼--->1>入口點加1免殺法---> 1>加壓縮殼--->1>再加殼或多重加殼

2>變化入口地址免殺法 2>加成僻殼 2>加殼的偽裝.
3>加花指令法免殺法 3>打亂殼的頭文件

4>修改文件特徵碼免殺法

注:這個方案可以任意組合各種不同的免殺方案.並達到各種不同的免殺效果.

第六部分:免殺方案實例演示部分

1.完全免殺方案一:

內存特徵碼修改 + 加UPX殼 + 秘密行動工具打亂UPX殼的頭文件.

2.完全免殺方案二:

內存特徵碼修改 + 加壓縮殼 + 加殼的偽裝

3.完全免殺方案三:

內存特徵碼修改 + 修改各種殺毒軟體的文件特徵碼 + 加壓縮殼

4.完全免殺方案四:

內存特徵碼修改 + 加花指令 + 加壓殼

5.完全變態免殺方案五:

內存特徵碼修改 + 加花指令 + 入口點加1 + 加壓縮殼UPX + 打亂殼的頭文件

還有其它免殺方案可根據第五部分任意組合.

9. 如何製作免殺

去網路上so一下 如果擬不想so我可一給你搬過來 ,如果你想學習免殺技術:1.基礎的匯編語言 2.修改工具(不指那些傻瓜式軟體).如:
OllyDbg . PEditor. C32ASM . MYCCL復合特徵碼定位器.UE .OC. 資源編輯器等.還有一些查殼 脫殼軟體(如:PEID RL脫殼機等) . 以下是常用的幾種免殺方法及工具:一. 要使一個木馬免殺，首先要准備一個不加殼的木馬，這點非常重要，否則

免殺操作就不能進行下去。

二.然後我們要木馬的內存免殺，從上面分析可以看出，目前的內存查殺，只有

瑞星最強，其它殺毒軟體內存查殺現在還不起作用所以我們只針對瑞星的內存查殺

，要進行內存特徵碼的定位和修改，才能內存免殺。

二.對符其它的殺毒軟體，比如江民，金山，諾頓,卡巴.我們可以採用下面的方

法,或這些方面的組合使用.1>.入口點加1免殺法.

2>.變化入口地址免殺法
3>.加花指令法免殺法

4>.加殼或加偽裝殼免殺法.

5>.打亂殼的頭文件免殺法.

6>.修改文件特徵碼免殺法.

第三部分:免殺技術實例演示部分

一.入口點加1免殺法:

1.用到工具:PEditor

2.特點:非常簡單實用,但有時還會被卡巴查殺.

3.操作要點:用PEditor打開無殼木馬程序,把原入口點加1即可.

二.變化入口地址免殺法:

1.用到工具:OllyDbg,PEditor

2.特點:操作也比較容易,而且免殺效果比入口點加1點要佳.

3.操作要點:用OD載入無殼的木馬程序,把入口點的前二句移到零區域去執行,然後

又跳回到入口點的下面第三句繼續執行.最後用PEditor把入口點改成零區域的地址.

三.加花指令法免殺法:

1.用到工具:OllyDbg,PEditor

2.特點:免殺通用性非常好,加了花指令後,就基本達到大量殺毒軟體的免殺.

3.操作要點:用OD打開無殼的木馬程序,找到零區域,把我們准備好的花指令填進去

填好後又跳回到入口點,保存好後,再用PEditor把入口點改成零區域處填入花指令

的著地址.

四.加殼或加偽裝殼免殺法:

1.用到工具:一些冷門殼,或加偽裝殼的工具,比如木馬綵衣等.

2.特點:操作簡單化,但免殺的時間不長,可能很快被殺,也很難躲過卡巴的追殺.

3.操作要點:為了達到更好的免殺效果可採用多重加殼,或加了殼後在加偽裝殼的

免殺效果更佳.

五.打亂殼的頭文件或殼中加花免殺法:

1.用到工具:秘密行動 ,UPX加殼工具.

2.特點:操作也是傻瓜化,免殺效果也正當不錯,特別對卡巴的免殺效果非常好.

3.操作要點:首先一定要把沒加過殼的木馬程序用UPX加層殼,然後用秘密行動這款

工具中的SCramble功能進行把UPX殼的頭文件打亂,從而達到免殺效果.

六.修改文件特徵碼免殺法:

1.用到工具:特徵碼定位器,OllyDbg

2.特點:操作較復雜,要定位修改一系列過程,而且只針對每種殺毒軟體的免殺,要

達到多種殺毒軟體的免殺,必需修改各種殺毒軟體的特徵碼.但免殺效果好.

3.操作要點:對某種殺毒軟體的特徵碼的定位到修改一系列慢長過程.

第四部分:快速定位與修改瑞星內存特徵碼

一. 瑞星內存特徵碼特點:由於技術原因,目前瑞星的內存特徵碼在90%以上把字元

串作為病毒特徵碼,這樣對我們的定位和修改帶來了方便.

二定位與修改要點:1>.首先用特徵碼定位器大致定位出瑞星內存特徵碼位置

2>.然後用UE打開,找到這個大致位置,看看,哪些方面對應的是

字元串,用0替換後再用內存查殺進行查殺.直到找到內存特徵

碼後,只要把字元串的大小寫互換就能達到內存免殺效果.

第五部分:木馬免殺綜合方案

修改內存特徵碼--->1>入口點加1免殺法---> 1>加壓縮殼--->1>再加殼或多重加殼

2>變化入口地址免殺法 2>加成僻殼 2>加殼的偽裝.
3>加花指令法免殺法 3>打亂殼的頭文件

4>修改文件特徵碼免殺法

注:這個方案可以任意組合各種不同的免殺方案.並達到各種不同的免殺效果.

第六部分:免殺方案實例演示部分

1.完全免殺方案一:

內存特徵碼修改 + 加UPX殼 + 秘密行動工具打亂UPX殼的頭文件.

2.完全免殺方案二:

內存特徵碼修改 + 加壓縮殼 + 加殼的偽裝

3.完全免殺方案三:

內存特徵碼修改 + 修改各種殺毒軟體的文件特徵碼 + 加壓縮殼

4.完全免殺方案四:

內存特徵碼修改 + 加花指令 + 加壓殼

5.完全變態免殺方案五:

內存特徵碼修改 + 加花指令 + 入口點加1 + 加壓縮殼UPX + 打亂殼的頭文件

還有其它免殺方案可根據第五部分任意組合