前几次发过一些免杀的灰鸽子,经过测试都能正常上线,很多HACKER朋友虽然知道很多入侵技巧,但是木马免杀却不懂的,这使的很多跨站挂马的朋友丢失了好多珍贵的可以入侵的计算机!很多朋友就问了:你是怎么做到免杀的呢?
我就告诉大家木马如何做到免杀!大家只要记好下面的四句免杀秘诀,按照下面的步骤来处理木马程序,我相信大家也能打造无敌的免杀木马!
1--去头加花改入口
2--修改特征过杀软
3--加区建表重载入
4--加密加壳终极法
简单解释一下:
1--去头加花改入口
其实这句话的目的无非就是修改程序的入口点,打乱程序的结构,使杀毒软件无从查杀!很多小黑朋友们也听说过一句“入口点+1”的免杀方法,我个人并不推崇这这种免杀方法,因为这种方法即使过了杀软,也可能导致木马无法运行!我觉得这句话的精髓在于---加花—2字,加花才是真正的目的!现在流行的花指令很多,网 上有的是,例如:
push eax
push eax
nop
pop eax
pop eax
sub eax,1
inc eax
push 入口地址
retn
由于只加一个花指令很难躲过杀软的查杀,大家可以尝试一下再加一个花指令,也就是所谓的---“二次加花”!大家如果不会用OD加花的话可以用个加花器来自动加花,有的手动加花后记得要修改程序的入口点可以用PEditor来修改文件的入口点。
2—修改特征过杀软
这种做法是过杀软的最稳健最根本的方法!现在的杀软也变聪明了,它们喜欢定位复合特征码,使得修改特征码多少增加了些难度。推荐大家使用CCL、MYCCL手动定位特征码来修改下,有不会的朋友建议大家恶补一下。
3—加区建表重载入
个人觉得这种方法有点类似加花改入口。还是那句话,不会用OD的朋友去恶补一下,如果不想理解原理,那么给大家一款好工具---MaskPE2.0,这个软件能自动加区段,重新建表,达到免杀处理的目的。
4—加密加壳终极法
这种方法也是最简单,免杀速度最快的一种方法,推荐大家在加壳的时候不要加那些常见的壳,如:ASPACK、NSPACK等等,建议大家加新壳、强壳!最好是看雪论坛上那些强度很大的壳或者刚刚出来的壳,杀毒软件一般还杀不掉。
最后总结一下:将上面的几种方法结合起来是木马免杀的最好的方法,先加花再加强壳或者先加区建表再加强壳,这样做隐蔽性良好,杀毒软件一般不认。最后在网上还流行一种二次加壳的方法,就是先加一个壳之后,用资源释放工具将资源释放,再加一个壳,这样做也能过部分的杀软,但并不是所有的木马程序都能二次加壳,在此还要大家注意下。还有上面的方法都是在木马没有加壳的前提下做的,如果大家用PEID检测发现加了壳了还得先脱壳之后才能进行以下步骤!最后呢,大家最好还是找些旧的木马来做,因为杀软枪打出头鸟,总是盯的最新的木马不放,还有给大家一个忠告:希望大家能会用CCL、MYCCL手动定位特征码,这才是木马免杀技术的正确方向!