免杀压缩壳

1. 什么是 免杀

1免杀的基本概念
免杀是什么概念呢。大家对这个应该有个自己的定义吧。我是把免杀认为通过一些手段使我们的木马让杀毒软件无法查杀，这就是免杀。也是我对免杀的定义。
2.免杀技术的分类
免杀技术分为文件免杀、内存免杀、行为免杀，加壳免杀、加花免杀、修改特征码免杀。
文件免杀、内存免杀、行为免杀、
2.加壳免杀
为了防止被杀毒软件反跟踪查杀和被跟踪调试，同时也防止算法程序被别人静态分析。最基本的隐藏：不可见窗体＋隐藏文件。壳又分为压缩壳和加密壳。压缩壳一般压缩加壳程序，通常压缩后的文件大小只有原来的50%-70%但不影响程序的正常使用和所有功能。加密壳是用上了各种反跟踪技术保护程序不被调试、脱壳等，其加壳后的体积大小不是其考虑的主要因素。
3
加花免杀
什么是花指令？实际上，把它按照“乱指令”来理解可能更贴切、
就是故意将错误的机器指令放在了错误的位置，那反汇编时，就有可能连同后面的数据一起错误地反汇编出来，这样，我们看到的就可能是一个错误的反汇编代码。这就是“花指令”，简而言之，花指令是利用了反汇编时单纯根据机器指令字来决定反汇编结果的漏洞。
4
修改特征码免杀、
因为杀毒软件查杀就是自己的病毒库和木马的特征码对比，如果相同的话就判断它是木马，当然我们只要改掉这些代码就可以免杀了。这就是修改特征码免杀。

2. 请问什么是压缩壳

压缩壳是一种对EXE文件的数据压缩及加密保护，可以将EXE文件压缩成自我解压文件，并能隐藏解压进程。

在免杀技术里所谓的壳与伪装壳其实就是压缩与外层数据伪装，其实是利用特殊的算法，对可执行文件与DLL文件里的资源进行压缩与对文件的描述、版本号、创建日期、修改软件、系统运行需求等外层数据进行伪装。

(2)免杀压缩壳扩展阅读：

压缩壳逻辑：

1、MFC实现的UI交互部分：展示壳的功能，获取被加壳程序的路径，显示加壳进度。

2、加壳功能Pack导出为一个dll，MFC部分动态加载。

3、壳的本体Stub，把数据段、只读数据段合并到代码段，添加到被加壳程序的最后。

压缩代码段，大概思路：通过.text段头表找到.text段，调用压缩库压缩。申请内存空间，大小=PE头+已压缩.text+其他区段。依次从内存空间把文件拷贝过去：PE头、已压缩.text段、其他区段，重组PE文件。同时，修改.text的SizeOfRawData、修改其他区段的PointerToRawData。

3. 木马免杀壳 杀加壳 变态壳是什么意思都还有什么壳

-
-!!
壳分两种一种是保护壳（如加密等等）另一种是压缩壳（压缩文件大小）
现在的壳基本都被杀了。就算过了也只能过杀软表面！那些什么变态壳什么的只是个名字。
要学免杀还是先学定位修改特征码！

4. DLL360免杀怎么弄

需要用易语言编写dll结合bat运行绕过360免杀。
1、源码定位，首先删减源码，然后编译，如果报毒，继续删减，直到不报毒为止，定位出报毒的子程序。
2、在敏感代码前后，子程序前后，添加大量无意义的不报毒命令。
3、编译后替换资源，建议替换360相关产品（非杀毒卫士）下带证书的资源，最好是dll文件，越大越好。
4、压缩壳或者加密壳，建议upx压缩壳最高压缩。
垃圾代码最好写成那种运算速度快的，否则会对你软件的运行速度造成影响。

5. 免杀的方法

一.入口点加1免杀法:

1.用到工具PEditor
2.特点:非常简单实用,但有时还会被卡巴查杀]
3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可

【二.变化入口地址免杀法:】

1.用到工具:OllyDbg,PEditor
2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳.
3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后
又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址

【三.加花指令法免杀法:】

1.用到工具:OllyDbg,PEditor
2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀.
3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去
填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令的着地址.

【四.加壳或加伪装壳免杀法:】

1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等.
2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀
3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的免杀效果更佳

【五.打乱壳的头文件或壳中加花免杀法:】

1.用到工具:秘密行动 ,UPX加壳工具.
2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好
3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款
工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.

【六.修改文件特征码免杀法:】

1.用到工具:特征码定位器,OllyDbg
2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要达
到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好

[特征码修改方法]

特征码修改包括文件特征码修改和内存特征码修改，因为这二种特征码的修改方
法是通用的。所以就对目前流行的特征码修改方法作个总节。

[方法一:直接修改特征码的十六进制法]
1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.
2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下能否正常使用.

[方法二:修改字符串大小写法]
1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.
2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.

[方法三:等价替换法]
1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.
2.适用范围:特征码中必需有可以替换的汇编指令.比如JN,JNE 换成JMP等.如果和我一样对汇编不懂的可以去查查8080汇编手册.

[方法四:指令顺序调换法]
1.修改方法:把具有特征码的代码顺序互换一下.
2.适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行

[方法五:通用跳转法]
1.修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.
2.适用范围:没有什么条件,是通用的改法,强烈建议大家要掌握这种改法.

木马免杀的综合修改方法

文件免杀方法：1.加冷门壳 2.加花指令 3.改程序入口点 4.改木马文件特征码的5种常用方法
5.还有其它的几种免杀修改技巧

【七.内存免杀方法:】

修改内存特征码：
方法1>直接修改特征码的十六进制法
方法2>修改字符串大小写法
方法3>等价替换法
方法4>指令顺序调换法
方法5>通用跳转法

壳入口修改法
1.用到工具：压缩壳 OD
2.特点：操作简单 免杀效果好
3.操作步骤：首先给木马加压缩壳 然后用OD载入，在入口处的前15句中NOP掉某些代码或者等价代换某些代码

【八.输入表免杀方法:】

[一，移位法]

1 首先用lordpe打开，目录，导入表找到你要改的函数。比如说CommandLineA
2 记下未改前函数的thunkvalue 举例：00062922
3 将要修改的文件用winhex等16进制形式打开，然后找到该函数的地址，比如说00062988
4 将该函数用00填充，移动到新地址如00070000
5 保存
6 将保存后的文件用lordpe打开，打开计算器，选择16进制，00062988-00062922+00070000，计算结果修改为新的thunkvalue。保存
注：公式-> 内存地址=RAV+RAV基址 ，RAV基地址可以在LORDPE中看到.输入表函数名前有两个空格所以RAV的地址要减去2

[二，修改字符法]

今天定位Drat2.9卡巴特征码，是在输入表上！（这时句废话，现在卡巴基本都杀输入表）

[特征] 00025175_00000001 ZwUnmapViewOfSection 他的特征码位置是函数后面的那个00

（这个函数我在开始移动过位置，原始DAT文件的特征码是0002516A_00000001，同样是函数后面的那个00）
我开始是选择C32移动位置，LordPE修改输入表，但是不行，后来试过OD指针移位，还是不行！CALL改JMP都不行
我发现LordPE可以修改函数名称！便用C32将ZwUnmapViewOfSection函数后面加了个字符b（你可以随意加字符）

由于LordPE读取输入表函数是从ThunkValue开始，一直到这个连续的字符串后的00处！
由于在ZwUnmapViewOfSection函数后加了个字符b，现在LordPE读取的此处函数为ZwUnmapViewOfSectionb

此时将ZwUnmapViewOfSectionb函数后面的那个b删除！保存下文件，这时就免杀了！

这样一修改，在文件00025175处的16进制代码不是00，而是62，所以卡巴就过了，而用lardPE修改后函数后，文件的输入表的函数还是ZwUnmapViewOfSection，生成服务端可以运行！

【免杀经验:】

1.加区,加花后,再加密,可以比较容易过卡巴----如加密工具vmprotect

脱壳过的木马---加花指令,或加区加花---加密---加压缩壳---再加区加花指令

2.单单加免杀花指令已经不能过卡巴,一定要配合加花后在加压缩壳,才能起到免杀卡巴的效果.

vmprotect加密----再加花-----可过卡巴:

3.加双层花指令免杀法----免卡巴

4.加密---007内存免----加压 ---免卡巴或内存.

5.双层加密(maskpE)---加压 ----可过卡巴.

6.maskpe加密---asppack加壳 ---改入口点加1---可过卡巴

7.加密maskpe----加花或加区加花(用工具)-----加压缩壳---免卡巴

8.北斗对黑防鸽子可加压二次,再压其它压缩壳.以达免杀.

9.加过北斗壳,向上拉滚开鼠标50多次,有一段空代码,可以加花,转移.

10.去头转移入口点---加花----加密(vmprotect) ----加压缩==过所有杀毒

11.对付卡巴,加免杀花指令.花指令对瑞星表面查杀一般无效,一般加压缩壳.

12.对付瑞星表面: 有些黑软,加区,加花后被瑞星表面杀,可以这样:先加压过瑞星表面,然后加免杀花指令,过卡巴.

13.过瑞星表面的查杀方法: 1.加北斗内存免杀压缩壳 2.加过瑞星表面的专用加密工具. 3.用maskPE加密工具加密 源码免杀，要求楼主必须会编程语言，如C语言，E语言等。可以载入IDA中调试，通过修改源码语句。

6. 请问什么是压缩壳

压缩壳是一种对EXE文件的数据压缩及加密保护，可以将EXE文件压缩成自我解压文件，并能隐藏解压进程。

在免杀技术里所谓的壳与伪装壳其实就是压缩与外层数据伪装，其实是利用特殊的算法，对可执行文件与DLL文件里的资源进行压缩与对文件的描述、版本号、创建日期、修改软件、系统运行需求等外层数据进行伪装。

(6)免杀压缩壳扩展阅读：

压缩壳逻辑：

1、MFC实现的UI交互部分：展示壳的功能，获取被加壳程序的路径，显示加壳进度。

2、加壳功能Pack导出为一个dll，MFC部分动态加载。

3、壳的本体Stub，把数据段、只读数据段合并到代码段，添加到被加壳程序的最后。

压缩代码段，大概思路：通过.text段头表找到.text段，调用压缩库压缩。申请内存空间，大小=PE头+已压缩.text+其他区段。依次从内存空间把文件拷贝过去：PE头、已压缩.text段、其他区段，重组PE文件。同时，修改.text的SizeOfRawData、修改其他区段的PointerToRawData。

7. 找高手帮忙免杀

C32 OD LordPE 偏移转换工具OC
还有 加壳工具 加壳工具用北斗4.1就可以了 我就用 这个 还要MYCLL
MYCLL 是 定位用的
最好先学会 汇编 学汇编看看8088 就可以了

注:编写花指令,可参考以下成双指令,可任意自由组合.达到免杀效果.
push ebp
pop ebp
push eax
pop eax
push esp
pop esp
push 0
push 0
push 10 -------其中数字可以任意,注意与下面对应
push -10
nop -----------可任意在中间添加
与它等效的:
mov EDI,EDI

add esp,1 -------其中数字可以任意,注意以下面对应
add esp,-1
add esp,1 --------其中数字可以任意,注意以下面对应
sub esp,1
inc ecx
dec ecx
sub eax, -2 ----------其中数字可任意,与dec的个数对应
dec eax
dec eax
add eax -2 ----------其中数字可任意,与inc的个数对应
inc eax
inc eax
jmp 下一个jmp地址
jmp 下一个地址

push ebp
mov ebp,esp -------可做为花指令的开头句

jmp 入口地址 ------跳到程序入口地址
与它效果一样的还有(以下三个):
push 入口地址
retn
jb 入口地址
jnb 入口地址
mov eax,入口地址
jmp eax

************************************************
用北斗压缩后----再VMProtect加密后,可过瑞星表面

1.POP 0
POP 0
2.PUSH ebp
pop ebp
3.nop ----一般插在中间
4.jmp 一下jmp的地址
jmp ...
5.add esp,1 ----数字可以改变
sub esp,1
6. add esp,1
add esp,-1
7.sub esp,1
sub esp,-1
8.push esi
push edi
9.inc ecx
dec ecx
10 sub eax,-2
dec eax
dec eax
11.(该免杀花指令经典,压缩可运行,免卡巴)
push ebp
mov ebp,esp
pop esp
jmp 原入口点地址-

jmp XXXXXX等价于:
PUSH XXXXXX
RETN

12. 免杀卡巴的花指令:
push ebx
push ebx
push ebx
pop ebx
pop ebx
pop ebx
jmp 跳到下一个地址
add esp,1
add esp,-1
push 入口点地址
retn

*************
12.(同上)
push ebp
push esp
pop ebp
pop esp
jmp 原入口点地址
13.最新的一段万能免杀花指令:
push ebp
push esp
pop ebp
add esp,-0C
add esp,0C
push eax
jmp入口

14.免杀花指令
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
push eax
mov eax,入口地址
jmp eax
nop
15.
jmp 改成:Jg(大于转移),JL(小于转移)
或改成:jb(小于转移),jnb(大于或等于转移)
16.写过卡巴花指令的跳不要直接用jmp来跳,不然,要被直接杀
jmp ---直接被杀
改成
jb
jnb
或改成:
push 入口地址
retn
或改成:
mov eax,入口地址
jmp eax

17.一段免杀卡巴的花指令:
push ebx
push ebx
pop ebx
pop ebx
add esp,1
add esp,-1
push 入口地址
retn
*****************************************************************
免杀经验:
1.加区,加花后,再加密,可以比较容易过卡巴----如加密工具vmprotect
脱壳过的木马---加花指令,或加区加花---加密---加压缩壳---再加区加花指
令
2.单单加免杀花指令已经不能过卡巴,一定要配合加免花后在加压缩壳,才能起到免杀卡巴的效果.
vmprotect加密----再加花-----可过卡巴:
3.加双层花指令免杀法----免卡巴
4.加密---007内存免----加压 ---免卡巴或内存.
5.双层加密(maskpE)---加压 ----可过卡巴.
6.maskpe加密---asppack加壳 ---改入口点加1---可过卡巴
7.加密maskpe----加花或加区加花(用工具)-----加压缩壳---免卡巴
8.北斗对黑防鸽子可加压二次,再压其它压缩壳.以达免杀.
9.加过北斗壳,上向拉滚开鼠标50多次,有一段空代码,可以加花,转移.
10.去头转移入口点---加花----加密(vmprotect) ----加压缩==过所有杀毒
11.对付卡巴,加免杀花指令.花指令对瑞星表面查杀一般无效,一般加压缩壳.
12.对付瑞星表面: 有些黑软,加区,加花后被瑞星表面杀,可以这样:先加压过瑞星表面,然后加免杀花指令,过卡巴.

13.过瑞星表面的查杀方法:
1.加北斗内存免杀压缩壳
2.加过瑞星表面的专用加密工具.
3.用maskPE加密工具加密
1.POP 0
POP 0
2.PUSH ebp
pop ebp
3.nop ----一般插在中间
4.jmp 一下jmp的地址
jmp ...
5.add esp,1 ----数字可以改变
sub esp,1
6. add esp,1
add esp,-1
7.sub esp,1
sub esp,-1
8.push esi
push edi
9.inc ecx
dec ecx
10 sub eax,-2
dec eax
dec eax
11.(该免杀花指令经典,压缩可运行,免卡巴)
push ebp
mov ebp,esp
pop esp
jmp 原入口点地址-

jmp XXXXXX等价于:
PUSH XXXXXX
RETN

12. 免杀卡巴的花指令:
push ebx
push ebx
push ebx
pop ebx
pop ebx
pop ebx
jmp 跳到下一个地址
add esp,1
add esp,-1
push 入口点地址
retn

*************
12.(同上)
push ebp
push esp
pop ebp
pop esp
jmp 原入口点地址
13.最新的一段万能免杀花指令:
push ebp
push esp
pop ebp
add esp,-0C
add esp,0C
push eax
jmp入口

14.免杀花指令
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
push eax
mov eax,入口地址
jmp eax
nop
15.
jmp 改成:Jg(大于转移),JL(小于转移)
或改成:jb(小于转移),jnb(大于或等于转移)
16.写过卡巴花指令的跳不要直接用jmp来跳,不然,要被直接杀
jmp ---直接被杀
改成
jb
jnb
或改成:
push 入口地址
retn
或改成:
mov eax,入口地址
jmp eax

17.一段免杀卡巴的花指令:
push ebx
push ebx
pop ebx
pop ebx
add esp,1
add esp,-1
push 入口地址
retn
*****************************************************************
免杀经验:
1.加区,加花后,再加密,可以比较容易过卡巴----如加密工具vmprotect
脱壳过的木马---加花指令,或加区加花---加密---加压缩壳---再加区加花指
令
2.单单加免杀花指令已经不能过卡巴,一定要配合加免花后在加压缩壳,才能起到免杀卡巴的效果.
vmprotect加密----再加花-----可过卡巴:
3.加双层花指令免杀法----免卡巴
4.加密---007内存免----加压 ---免卡巴或内存.
5.双层加密(maskpE)---加压 ----可过卡巴.
6.maskpe加密---asppack加壳 ---改入口点加1---可过卡巴
7.加密maskpe----加花或加区加花(用工具)-----加压缩壳---免卡巴
8.北斗对黑防鸽子可加压二次,再压其它压缩壳.以达免杀.
9.加过北斗壳,上向拉滚开鼠标50多次,有一段空代码,可以加花,转移.
10.去头转移入口点---加花----加密(vmprotect) ----加压缩==过所有杀毒
11.对付卡巴,加免杀花指令.花指令对瑞星表面查杀一般无效,一般加压缩壳.
12.对付瑞星表面: 有些黑软,加区,加花后被瑞星表面杀,可以这样:先加压过瑞星表面,然后加免杀花指令,过卡巴.

13.过瑞星表面的查杀方法:
1.加北斗内存免杀压缩壳
2.加过瑞星表面的专用加密工具.
3.用maskPE加密工具加密.
1.POP 0
POP 0
2.PUSH ebp
pop ebp
3.nop ----一般插在中间
4.jmp 一下jmp的地址
jmp ...
5.add esp,1 ----数字可以改变
sub esp,1
6. add esp,1
add esp,-1
7.sub esp,1
sub esp,-1
8.push esi
push edi
9.inc ecx
dec ecx
10 sub eax,-2
dec eax
dec eax
11.(该免杀花指令经典,压缩可运行,免卡巴)
push ebp
mov ebp,esp
pop esp
jmp 原入口点地址-

jmp XXXXXX等价于:
PUSH XXXXXX
RETN

12. 免杀卡巴的花指令:
push ebx
push ebx
push ebx
pop ebx
pop ebx
pop ebx
jmp 跳到下一个地址
add esp,1
add esp,-1
push 入口点地址
retn

*************
12.(同上)
push ebp
push esp
pop ebp
pop esp
jmp 原入口点地址
13.最新的一段万能免杀花指令:
push ebp
push esp
pop ebp
add esp,-0C
add esp,0C
push eax
jmp入口

14.免杀花指令
push ebp
mov ebp,esp
add esp,-0C
add esp,0C
push eax
mov eax,入口地址
jmp eax
nop
15.
jmp 改成:Jg(大于转移),JL(小于转移)
或改成:jb(小于转移),jnb(大于或等于转移)
16.写过卡巴花指令的跳不要直接用jmp来跳,不然,要被直接杀
jmp ---直接被杀
改成
jb
jnb
或改成:
push 入口地址
retn
或改成:
mov eax,入口地址
jmp eax

17.一段免杀卡巴的花指令:
push ebx
push ebx
pop ebx
pop ebx
add esp,1
add esp,-1
push 入口地址
retn
*****************************************************************
免杀经验:
1.加区,加花后,再加密,可以比较容易过卡巴----如加密工具vmprotect
脱壳过的木马---加花指令,或加区加花---加密---加压缩壳---再加区加花指
令
2.单单加免杀花指令已经不能过卡巴,一定要配合加免花后在加压缩壳,才能起到免杀卡巴的效果.
vmprotect加密----再加花-----可过卡巴:
3.加双层花指令免杀法----免卡巴
4.加密---007内存免----加压 ---免卡巴或内存.
5.双层加密(maskpE)---加压 ----可过卡巴.
6.maskpe加密---asppack加壳 ---改入口点加1---可过卡巴
7.加密maskpe----加花或加区加花(用工具)-----加压缩壳---免卡巴
8.北斗对黑防鸽子可加压二次,再压其它压缩壳.以达免杀.
9.加过北斗壳,上向拉滚开鼠标50多次,有一段空代码,可以加花,转移.
10.去头转移入口点---加花----加密(vmprotect) ----加压缩==过所有杀毒
11.对付卡巴,加免杀花指令.花指令对瑞星表面查杀一般无效,一般加压缩壳.
12.对付瑞星表面: 有些黑软,加区,加花后被瑞星表面杀,可以这样:先加压过瑞星表面,然后加免杀花指令,过卡巴.
13.过瑞星表面的查杀方法:
1.加北斗内存免杀压缩壳
2.加过瑞星表面的专用加密工具.
3.用maskPE加密工具加密.

8. 免杀壳怎么制作

如果你想学习免杀技术:1.基础的汇编语言 2.修改工具(不指那些傻瓜式软件).如:
OllyDbg . PEditor. C32ASM . MYCCL复合特征码定位器.UE .OC. 资源编辑器等.还有一些查壳 脱壳软件(如:PEID RL脱壳机等) . 以下是常用的几种免杀方法及工具:一. 要使一个木马免杀，首先要准备一个不加壳的木马，这点非常重要，否则

免杀操作就不能进行下去。

二.然后我们要木马的内存免杀，从上面分析可以看出，目前的内存查杀，只有

瑞星最强，其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀

，要进行内存特征码的定位和修改，才能内存免杀。

二.对符其它的杀毒软件，比如江民，金山，诺顿,卡巴.我们可以采用下面的方

法,或这些方面的组合使用.1>.入口点加1免杀法.

2>.变化入口地址免杀法
3>.加花指令法免杀法

4>.加壳或加伪装壳免杀法.

5>.打乱壳的头文件免杀法.

6>.修改文件特征码免杀法.

第三部分:免杀技术实例演示部分

一.入口点加1免杀法:

1.用到工具:PEditor

2.特点:非常简单实用,但有时还会被卡巴查杀.

3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可.

二.变化入口地址免杀法:

1.用到工具:OllyDbg,PEditor

2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳.

3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后

又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址.

三.加花指令法免杀法:

1.用到工具:OllyDbg,PEditor

2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀.

3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去

填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令

的着地址.

四.加壳或加伪装壳免杀法:

1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等.

2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀.

3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的

免杀效果更佳.

五.打乱壳的头文件或壳中加花免杀法:

1.用到工具:秘密行动 ,UPX加壳工具.

2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好.

3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款

工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.

六.修改文件特征码免杀法:

1.用到工具:特征码定位器,OllyDbg

2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要

达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好.

3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程.

第四部分:快速定位与修改瑞星内存特征码

一. 瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符

串作为病毒特征码,这样对我们的定位和修改带来了方便.

二定位与修改要点:1>.首先用特征码定位器大致定位出瑞星内存特征码位置

2>.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是

字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征

码后,只要把字符串的大小写互换就能达到内存免杀效果.

第五部分:木马免杀综合方案

修改内存特征码--->1>入口点加1免杀法---> 1>加压缩壳--->1>再加壳或多重加壳

2>变化入口地址免杀法 2>加成僻壳 2>加壳的伪装.
3>加花指令法免杀法 3>打乱壳的头文件

4>修改文件特征码免杀法

注:这个方案可以任意组合各种不同的免杀方案.并达到各种不同的免杀效果.

第六部分:免杀方案实例演示部分

1.完全免杀方案一:

内存特征码修改 + 加UPX壳 + 秘密行动工具打乱UPX壳的头文件.

2.完全免杀方案二:

内存特征码修改 + 加压缩壳 + 加壳的伪装

3.完全免杀方案三:

内存特征码修改 + 修改各种杀毒软件的文件特征码 + 加压缩壳

4.完全免杀方案四:

内存特征码修改 + 加花指令 + 加压壳

5.完全变态免杀方案五:

内存特征码修改 + 加花指令 + 入口点加1 + 加压缩壳UPX + 打乱壳的头文件

还有其它免杀方案可根据第五部分任意组合.

9. 如何制作免杀

去网络上so一下 如果拟不想so我可一给你搬过来 ,如果你想学习免杀技术:1.基础的汇编语言 2.修改工具(不指那些傻瓜式软件).如:
OllyDbg . PEditor. C32ASM . MYCCL复合特征码定位器.UE .OC. 资源编辑器等.还有一些查壳 脱壳软件(如:PEID RL脱壳机等) . 以下是常用的几种免杀方法及工具:一. 要使一个木马免杀，首先要准备一个不加壳的木马，这点非常重要，否则

免杀操作就不能进行下去。

二.然后我们要木马的内存免杀，从上面分析可以看出，目前的内存查杀，只有

瑞星最强，其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀

，要进行内存特征码的定位和修改，才能内存免杀。

二.对符其它的杀毒软件，比如江民，金山，诺顿,卡巴.我们可以采用下面的方

法,或这些方面的组合使用.1>.入口点加1免杀法.

2>.变化入口地址免杀法
3>.加花指令法免杀法

4>.加壳或加伪装壳免杀法.

5>.打乱壳的头文件免杀法.

6>.修改文件特征码免杀法.

第三部分:免杀技术实例演示部分

一.入口点加1免杀法:

1.用到工具:PEditor

2.特点:非常简单实用,但有时还会被卡巴查杀.

3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可.

二.变化入口地址免杀法:

1.用到工具:OllyDbg,PEditor

2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳.

3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后

又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址.

三.加花指令法免杀法:

1.用到工具:OllyDbg,PEditor

2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀.

3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去

填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令

的着地址.

四.加壳或加伪装壳免杀法:

1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等.

2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀.

3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的

免杀效果更佳.

五.打乱壳的头文件或壳中加花免杀法:

1.用到工具:秘密行动 ,UPX加壳工具.

2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好.

3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款

工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.

六.修改文件特征码免杀法:

1.用到工具:特征码定位器,OllyDbg

2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要

达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好.

3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程.

第四部分:快速定位与修改瑞星内存特征码

一. 瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符

串作为病毒特征码,这样对我们的定位和修改带来了方便.

二定位与修改要点:1>.首先用特征码定位器大致定位出瑞星内存特征码位置

2>.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是

字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征

码后,只要把字符串的大小写互换就能达到内存免杀效果.

第五部分:木马免杀综合方案

修改内存特征码--->1>入口点加1免杀法---> 1>加压缩壳--->1>再加壳或多重加壳

2>变化入口地址免杀法 2>加成僻壳 2>加壳的伪装.
3>加花指令法免杀法 3>打乱壳的头文件

4>修改文件特征码免杀法

注:这个方案可以任意组合各种不同的免杀方案.并达到各种不同的免杀效果.

第六部分:免杀方案实例演示部分

1.完全免杀方案一:

内存特征码修改 + 加UPX壳 + 秘密行动工具打乱UPX壳的头文件.

2.完全免杀方案二:

内存特征码修改 + 加压缩壳 + 加壳的伪装

3.完全免杀方案三:

内存特征码修改 + 修改各种杀毒软件的文件特征码 + 加压缩壳

4.完全免杀方案四:

内存特征码修改 + 加花指令 + 加压壳

5.完全变态免杀方案五:

内存特征码修改 + 加花指令 + 入口点加1 + 加压缩壳UPX + 打乱壳的头文件

还有其它免杀方案可根据第五部分任意组合