超全面的免杀技术经验总结
免杀原理与实践
免杀原理与实践xp3 免杀原理与实践⼀、实践内容1.正确使⽤msf编码器,msfvenom⽣成如jar之类的其他⽂件,veil-evasion,⾃⼰利⽤shellcode编程等免杀⼯具或技巧;2.通过组合应⽤各种技术实现恶意代码免杀(如果成功实现了免杀的,简单语⾔描述原理,不要截图。
与杀软共⽣的结果验证要截图。
)3.⽤另⼀电脑实测,在杀软开启的情况下,可运⾏并回连成功,注明电脑的杀软名称与版本⼆、基础问题回答1.杀软是如何检测出恶意代码的?基于特征码的检测启发式恶意软件的检测基于⾏为的恶意软件检测。
2.免杀是做什么?⼀般是对恶意软件做处理,让它不被杀毒软件所检测。
也是渗透测试中需要使⽤到的技术。
要做好免杀,就时清楚杀毒软件(恶意软件检测⼯具)是如何⼯作的。
AV(Anti-virus)是很⼤⼀个产业。
其中主要的技术⼈员基本有编制恶意软件的经验。
反过来也⼀样,了解了免杀的⼯具和技术,你也就具有了反制它的基础。
3.免杀的基本⽅法有哪些?就常见恶意软件⽽⾔,⼀般AV的检出率为40%-98%。
就算你⽤了最好的AV,恶意软件依然有1/50的概率通过检测。
这个概率还可以,貌似多试⼏种恶意软件就可以了。
那免杀的⽅法当然是针对检测技术的。
--所以总体技术有:改变特征码如果你⼿⾥只有EXE加壳:压缩壳加密壳有shellcode(像Meterpreter)⽤encode进⾏编码基于payload重新编译⽣成可执⾏⽂件有源代码⽤其他语⾔进⾏重写再编译(veil-evasion)--改变⾏为通讯⽅式尽量使⽤反弹式连接使⽤隧道技术加密通讯数据操作模式基于内存操作减少对系统的修改加⼊混淆作⽤的正常功能代码--免杀就是让安插的后门不被AV软件发现。
除了直接使⽤现有后门软件外,还有⼀些⽅式,在实际中也有⽤。
⾮常规⽅法使⽤⼀个有漏洞的应⽤当成后门,编写攻击代码集成到如MSF中。
使⽤社⼯类攻击,诱骗⽬标关闭AV软件。
纯⼿⼯打造⼀个恶意软件--留后门的思路是这样的:你写⼀个有漏洞的软件,开⼀个服务端⼝。
免杀技巧
1.算术逻辑部件ALU(arithmetic logic unit)用来进行算术和逻辑运算。这部分与我们的关系不太大,我们没必要管它。
2.控制逻辑。同样与我们的关系不大。
3.工作寄存器。意识了吧,寄存器呀!喂,,寄存器呀!~
3.0 寄存器
所要了解的是8个32位的寄存器,分别是eax,ebx,ecx,edx,esp,ebp,edi,esi
xor eax,eax<-看这个,eax与自己异或,是清零的操作!
lea eax,str<-并不传送数据,只传送该数据的地址,将str字符串的地址传到eax
push eax <-进栈操作,前面说过了,eax进栈
pop ebx <-出栈操作,前面也说了,弹出位于栈顶的数据存入ebx
免杀入门介绍
关于免杀的来源
为了让我们的木马在各种杀毒软件的威胁下活的更久.
什么叫免杀和查杀
可分为四类:
1.文件免杀和查杀:不运行程序用杀毒软件进行对该程序的扫描,所得结果。
2.内存的免杀和查杀:判断的方法1>运行后,用杀毒软件的内存查杀功能.
nop <- 无操作,去掉指令用的吧!去掉一个跳转,让程序直接往下走,就到注册成功处啦(扯远了````)
call <- 调用子程序或函数用的
关于跳转指令,可以查看汇编速查手册,别强迫自己把所有的都一下记住,浪费精力,不懂时再查一下,久了就记住了!
ADD 加法指令 格式:ADD DST,SRC 执行的操作:(DST)<-(SRC)+(DST)
SUB 减法指令 格式:SUB DST,SRC 执行的操作:(DST)<-(DST)-(SRC)
木马免杀基础知识
1.4 Section Table
PE Header 接下来的数组结构 Section Table (节表)。如果PE文件里有5个节,那么此 Section Table 结构数组内就有5个成员,每个成员包含对应节的属性、文件偏移量、虚拟偏移量等。图1中的节表有4个成员。
1.5 Sections
10.加壳(这个大家应该都会)
11.入口点加1(这个不说了,傻B都会哦)
12.垃圾代码清0(这个要一点汇编基础,能看懂哪些代码是没用的就行!)
13.这里省略!因为太多了~~
这些是比较普通的免杀方法,那么当然有很多变态免杀方法了。我们得先把这几种普通的免杀方法先掌握,在以后的教程中我会给大家公布一些我自己的免杀方法!
|--------------|
|PE Header |
|--------------|
|Section Table |
|--------------|
|Section 1 |
|--------------|
|Section 2 |
|--------------|
|Section ... |
常用免杀方法:
1.特征码定位
(主要是用CCL和MYCCL等工具定位出杀毒软件的特征码,然后对相应的特征码做适当的修改,从而实现免杀)优点:效果好。 缺点:费时间。
2.大小写替换(大小写转换)
3.指令顺序调换(把两个指令换个位子法不是很通用)
1.3 PE Header
紧接着 DOS Stub 的是 PE Header。它是一个 IMAGE_NT_HEADERS 结构。其中包含了很多PE文件被载入内存时需要用到的重要域。执行体在支持PE文件结构的操作系统中执行时,PE装载器将从 DOS MZ header 中找到 PE header 的起始偏移量。因而跳过了 DOS stub 直接定位到真正的文件头 PE header。
免杀知识点总结
免杀知识点总结一、免杀概述免杀技术是指通过各种手段,让恶意软件能够避开杀毒软件的检测,从而成功感染目标系统,达到攻击者的目的。
免杀技术已经成为当前网络安全攻防战中的一个热点话题,对于网络攻击者和渗透测试人员来说,掌握免杀技术至关重要。
对于网络防御者来说,了解免杀技术也是非常关键的,只有深入了解免杀技术,才能更好地防范这些攻击。
二、免杀技术分类1. 多态性多态性是免杀技术中非常关键的一种技术手段,其核心思想是不断改变恶意代码的形式和特征,使得每个新生成的样本都不同于已知的样本,从而能够逃避杀毒软件的检测。
多态性可以通过各种手段来实现,比如代码加密、代码压缩、指令替换等。
2. 加壳加壳是指将恶意代码进行加密或者混淆处理,生成一个新的可执行文件,执行时需要先经过解密或者解压缩的过程,从而使得病毒样本不易被杀毒软件检测到。
加壳也是一种非常常见的免杀技术手段。
3. 免杀代理免杀代理是指利用被信任的程序作为载体,将恶意代码植入到这些程序中,利用这些可信程序的信任度来躲避杀毒软件的检测。
免杀代理技术常见的方式包括DLL注入、shellcode注入等。
4. 免杀利用漏洞免杀利用漏洞是指通过利用系统或者应用程序的漏洞,来进行免杀攻击。
这种方式可以绕过杀毒软件的检测,因为漏洞本身并不是一种已知的攻击形式。
5. 免杀模块化免杀模块化是指将恶意代码进行模块化处理,将恶意功能分成若干模块,然后分别插入到合法程序中。
这样做的好处是一旦某个模块被杀毒软件检测到,也不会影响其他模块的正常工作。
6. 免杀定制化免杀定制化是指根据具体的目标系统和杀毒软件来进行技术定制,使得恶意代码能够更好地逃避检测。
这种方式需要对目标系统和杀毒软件有深入的了解,并能够根据具体情况来进行技术调整。
三、常见的免杀技术手段1. 代码混淆代码混淆是指对恶意代码进行各种变换和混淆处理,使得其在静态分析和动态执行时难以被识别。
常见的代码混淆手段包括变量重命名、函数重命名、指令替换、代码插入等。
免杀技术详解
免杀技术详解减小字体增大字体逆流风注:本文是去年投给黑客X档案的,与那期的主题乐园内容重叠,故未被选上,我也不另投其他杂志,转贴请注明出处,保留版权。
一、加壳免杀壳按照性质不同可分为压缩壳和加密壳,使用压缩壳压缩过的软件体积会减小很多,我们常用的UPX、ASPACK、FSG就是压缩壳,加密壳是防止软件被破解而加的壳,常见的加密壳有tElock、幻影、ASProtect 等。
加壳免杀是我们常用的免杀方法,操作简单,但是免杀的时间不长,可能很快就被杀。
但是经过加花指令、修改特征码后再加壳,免杀效果就相当好了,所以我们还是有必要了解一下。
实例:用NEW、[MSLRH] v0.31a加壳免杀NEW是一款俄国人写的具有高压缩率的壳。
压缩率高,而且压缩后的程序基本不会被查杀,值得一用。
以疯狂qq大盗build0709无壳版为例,使用NEW加壳。
文件由原来的800K变成411K。
接下来我们再用加密壳[MSLRH] v0.31a来加密疯狂qq大盗build0709无壳版。
[MSLRH] v0.31a能伪装成其它壳。
先用PEiD查下疯狂qq大盗build0709无壳版,没加壳,用[MSLRH] v0.31a加壳,在“令PEiD(V.93)探测为:随便选一个壳名称,用ASPack吧。
加好后文件大小变成872K,再用PEiD探测,变成ASPack 了(如图1)。
下面对比一下加壳效果和免杀效果。
用瑞星查杀,两个加过壳的疯狂qq大盗都躲过了瑞星的表面查杀而没加壳的瑞星查出来了。
(如图2、图3)二、修改入口点免杀杀毒软件的杀毒引擎大多以文件的入口处来判断文件是否是病毒或木马。
我们通过修改文件的入口点能躲过大部分杀毒软件的查杀。
实例:将疯狂qq大盗build0709无壳版的入口点加1免杀修改入口点,我们使用的是Peditor。
首先,用Peditor打开将疯狂qq大盗build0709无壳版,看左上角文件性息中的入口点,疯狂qq大盗build0709无壳版的入口点是00063DC8,00063DC8+1=00063DC9,将入口点改为00063DC9,再点击“应用更改”,就OK了。
木马免杀技术
木马免杀技术一、杀毒软件的查杀模式杀毒软件的查杀模式分三种1.文件查杀2.内存查杀3.行为查杀这三种是目前杀毒软件常用的杀毒模式。
所谓的文件查杀就是杀毒软件对磁盘中的文件进行静态扫描,一旦发现文件带有病毒库中的病毒特征代码就给予查杀。
内存查杀是杀毒软件把病毒特征代码释放到内存中,然后与内存中的文件进行比对,发现有文件中带有病毒特征代码就给予查杀。
现在最厉害的内存查杀当然是瑞星了,其他杀毒软件也有内存查杀但比不上瑞星的厉害。
行为杀毒是杀毒软件用木马运行后的一些特定的行为作为判断是否为木马的依据。
比如:啊拉QQ大盗在运行后会增加一个名为NTdhcp.exe的进程,还有彩虹桥的服务端在运行后会在注册表添加名为HKLM\SOFTWARE\Microsoft\Active Setup\InstalledComponents\{9B71D88C-C598-4935-C5D1-43AA4DB90836}\stubpath的键值。
行为杀毒的典型杀毒软件—绿鹰PC万能精灵。
二.根据杀毒软件的查杀模式总结出免杀方法主要针对文件的文件查杀和内存查杀1.文件查杀A.加壳免杀B.修改壳程序免杀C.修改文件特征代码免杀D.加花指令免杀2.内存查杀A.修改内存特征代码B.阻止杀毒软件扫描内存====================================================== ================A.加壳免杀建议你选择一些生僻壳、茾@恰⑿驴牵 蛘呒佣嘀乜牵 馍钡氖奔洳怀?可能很快被杀,不过和加密工具配合使用一些杀毒软件是很容易过的但瑞星的内存不过。
B.修改壳程序免杀主要有两种:一是通过加花指令的方法把壳伪装成其它壳或者无壳程序。
C.修改文件特征代码免杀,此方法的针对性是非常强的,就是说一般情况下你是修改的什么杀毒软件的特征代码,那么就只可以在这种杀毒软件下免杀。
以前常用的工具有CCL特征码定位器,不过现在用起来不是那么方便了,比如黑防鸽子他有多出特征代码,给新手学习定位增加了一定的难度,现在主要推荐的是MYCCL特征码定位器,个人感觉定位速度快,准确率高,尤其对那些有多处特征码的定位。
免杀基础三步走
13、尝试上一匹配目标后匹配8B,如果找到则继续,否则跳出。
14、尝试上一匹配目标后匹配D1,如果找到则继续,否则跳出。
15、尝试上一匹配目标后匹配41,如果找到则继续,否则跳出。
16、尝试上一匹配目标后匹配9C,如果找到则继续,否则跳出。
这种扫描技术通常支持半字节匹配,这样可以更精确地匹配特征码,一些早期的加密病毒用这种方法都比较容易检测出来。
免杀基础三步走之二(PE文件结构) 2009-02-15 03:18:37 来源:A1Pass
题记:本文发表于《黑客X档案》08年第9期,这是在其中分离出的第二段。 转载请注明版权:/ 作者:A1Pass 不知道通过上一节的学习与大家自己的努力,许多以前曾困惑不解 ...
一、PE文件入门
PE文件总的来说是由DOS文件头、DOS加载模块、PE文件头、区段表与区段5部分构成。其实,如果在纯Windows环境下运行,DOS文件头、DOS加载模块根本是用不上的,加上两个DOS相关的结构完全是为了兼容性问题。
为了方便观察与理解,我们可以通过观察图1大体了解PE文件的结构。
免杀基础三步走之一(杀毒软件原理)
随着黑客圈子逐渐向商业化靠拢,以及杀源自厂商间的互相竞争愈演愈烈,导 ...
题记:本文发表于《黑客X档案》08年第9期,这是在其中分离出一段。
转载请注明版权:/ 作者:A1Pass
随着黑客圈子逐渐向商业化靠拢,以及杀毒厂商间的互相竞争愈演愈烈,导致新出现的免费且好用的木马越来越少,除此之外,木马的生存期也在逐渐缩短!而另一方面,新出现的攻击手法越来越少,使得学习黑客技术的我们不得不考虑怎样摆脱或改善现有环境。
这一节就让我带领大家走进文件系统的底层——PE文件结构的学习与探究。
免杀
不 足:只能针对一个杀毒软件进行免杀,无法针对多个杀毒软件进行作业,免杀文件的存活期短。另外,此方法也非常耗费时间。
成 功 率:理论上100%,主要看你的经验与编程、汇编的底子。不过其实只要有足够的经验与方法,成功率就异常可观了!
四、移动PE短位置
优 点:可以防范未来将要出现的特征码,并且同时可以体验DIY的乐趣,顺便打造自己的“专用木马”。
不 足:无法进行有效的免杀,效果不明显。
成 功 率:几乎100%,只要不改错地方,一般更改后的程序完全可以正常运行。
二、尽量多的更改输入表函数
操作时注意:将输入表函数移动到新位置时,函数名的第一个字母最好在本行开头,另外注意地址的填写规律,不要弄错。
五、更改文件头
操作时注意:删除部分信息时文件结构的变化。
优 点:比较节省时间,免杀效果也很明显,是免杀中的有效方法之一。
不 足:免杀时间不长。
成 功 率:大约80%左右。
我就是改改入口点.跳转下就可以了.效果还好.最简单的办法.
202.196.208.000 202.196.223.255 河南省 新乡市(新乡医学院)
免杀的操作顺序:
1.主动查找可能存在的特征码
2.用CCL等查找特征码,并将其更改
3.尽可能多的更改输入表函数
4.更改文件头
5.Vmportect区段加密
6.移动PE段的位置
7.加壳压缩
免杀分析:
一、主动查找可能的特征码
操作时注意:有关注册表、文件路径的信息最好只用大小写替换的方法,不要改成其他内容,那样容易出错。
优 点:可以防范未来将要出现的特征码,给特征码的定位带来干扰。
免杀的原理大全
免杀的原理大全一、工具mycll:特征码定位PEID:查壳工具PEditor:入口点修改工具加花c32asmollybgoc:文件地址到内存地址的换算resscope:资源编辑zeroadd:加区段的木马采衣:加花maskpe,vmprotect:加密upx,aspack北斗壳:压缩免疫007:免疫器二、效果分析1、加密:vmprotectv1.21和MASKPE2.0(对瑞星有特效),比较容易过瑞星表面,不能过卡巴压缩:北斗,UPX:主要是减少体积加花:对卡巴有特效,通用性比较好2、北斗+VMpro,但是北斗+maskpe出错!无壳木马可以先加花3、无壳木马直接用maskPE22.0可过瑞星表面但是过不了卡巴。
4、无壳木马加一道花指令后再用VMPRO1.21加密可直接过卡巴但是可能无法过瑞星表面5、经过免杀处理,过几种杀毒软件,加压缩壳后仍免杀过他们,但是北斗除外,棉纱处理国卡巴的木马北斗后可能被卡巴杀6、测试操作1)手工加花+掘北压缩,鸽子先脱壳,在用OD在零区域添加指令(根据字节编写):先找原入口点,零区域,记录其地址(新入口点),指令push eax pop eax add esp 1 inc esp push 004A1E48 retn保存。
用PE修改入口点。
能过卡巴,过不了瑞星。
用掘北(对瑞星表面有特效)2)工具加花(花蝴蝶三号)+VMPRO+UPX。
**器三、手工加花方法1、直接:OD,记录入口点;找零区域,复制地址(新入口);写指令:push 0 nop add esp 2inc esp inc esp push exp pop esp push原入口点retn改入口点(新)(lordpe);可以把这段代码保存为二进制以后方便用。
2、去头:复制头,并去掉,填加到空白区域(新地址);再填加花指令。
3、加区:zeroadd加区段,大小一般100左右;OD打开文件,用ALT+M打开内存景象,复制区段入口地址和原程序入口,到区段加花,程序入口地址不变;lordpe 修改入口为区段的入口。
电脑裸奔不中毒七条经验分享
本人的计算机裸奔(不安装杀毒软件)了好几年了,印象中一次毒都没有中过。
N年前的老机器,较低的配置,我合理的使用却运行如飞。
我把我防病毒的经验总结成七点,分享给大家,希望看到更多的计算机尽情裸奔。
一、重装系统后立即打补丁重装完系统后的第一件事就是打补丁。
不打补丁就上网而不中毒的概率与跳到粪坑里却一尘不染差不多。
打补丁不要用Windows自带的update,最好用QQ医生、360安全卫士等专业打补丁工具。
这些工具一次打完补丁会在硬盘上留存一份,下次再打补丁就不必下载了,还可以做到离线打补丁。
最好这次把补丁备份好了,下次重装系统之后先拔网线,把补丁全部打完了再上网最安全。
二、不要通过搜索找软件(歌曲、电影)现在很多流氓下载站,本身甚至不提供任何好软件下载,只是通过SEO得到比较好的百度排名,当用户点击下载的时候,其实是在下载木马!还有一些正常的下载站把广告位卖给木马,广告的样子就是“下载按钮”,很可能眼花了一不小心就点上去了。
解决的办法是到一些口碑比较好的网站,使用他们的站内搜索,而不要通过百度搜索。
三、不要插入来历不明的U盘(MP3/相机卡/移动硬盘)带毒的优盘只要一插入电脑不需要任何操作就可能中毒。
因为Windows有一个变态的功能叫做自动播放,U盘插入后,Windows主动把优盘上的病毒执行。
解决的办法是设置禁止U盘自动播放,方法:360安全卫士/常用/修复系统漏洞,点击“开启优盘病毒免疫”就可以了,其他安全类软件也有类似的功能。
小心Windows还有另外一个变态的功能,如果U盘是可以自动播放的,就修改双击的默认操作为自动播放(就算没有安全问题,这个产品设计也是非常愚蠢的)。
也就是说虽然U盘没有自动运行,但是你双击了优盘的盘符想打开优盘,实际上触发了优盘里的病毒。
当知道U盘有毒但手头没有杀毒软件却不得不使用其中的文件时,右键点击优盘的盘符,在菜单里选择“资源管理器”,实验证明这样操作文件不会触发病毒。
免杀必学
的着地址.
四.加壳或加伪装壳免杀法:
1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等.
2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀.
3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的
串作为病毒特征码,这样对我们的定位和修改带来了方便.
二定位与修改要点:1>.首先用特征码定位器大致定位出瑞星内存特征码位置
2>.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是
字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征
达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好.
3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程.
第四部分:快速定位与修改瑞星内存特征码
一. 瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符
如果你想学习免杀技术:1.基础的汇编语言 2.修改工具(不指那些傻瓜式软件).如:
OllyDbg . PEditor. C32ASM . MYCCL复合特征码定位器.UE .OC. 资源编辑器等.还有一些查壳 脱壳软件(如:PEID RL脱壳机等) . 以下是常用的几种免杀方法及工具:一. 要使一个木马免杀,首先要准备一个不加壳的木马,这点非常重要,否则
免杀效果更佳.
五.打乱壳的头文件或壳中加花免杀法:
1.用到工具:秘密行动 ,UPX加壳工具.
2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好.
3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款
法,或这些方面的组合使用.1>.入口点加1免杀法.
免杀环境搭建和免杀思路
免杀环境搭建和免杀思路1.影子系统的安装使用如过你以前做过免杀的话,而又没任何保护措施,那每隔十天重装系统是很平常的事了。
因为在测试木马的时候,我们都是在本机测试运行的,而有时候没卸载,或者安装的木马多了,这样对系统的稳定性都有很大的影响,电脑就运行很慢了,或者在测试木马的时候它就不上线了。
这就需要你安装一个影子系统影子的原理就和网吧的还原卡差不多了,每次重启之后,被影子系统保护的磁盘就会恢复成上次的样子,所以也就不存在上面的那些问题了我就在虚拟机里安装一个影子系统吧安装完影子系统之后,如果你想让它开机的时候就启动,就得按这样来设置一下了。
如果以后不想影子开机启动,那就在开机的时候按“↓”键,选择正常模式启动2.虚拟机(VMware Workstation)的安装使用当我们安装了影子系统之后,你会发现仅仅这样做还是不够的,因为我们在做完免杀之后,经常要测试木马的上线和功能,那每次重启也是不好的。
所以就得安装一个虚拟机了。
在虚拟机安装完后,就得新建虚拟机,然后为之安装操作系统如果想让鼠标在主机和虚拟机之间自由移动,就还得为虚拟机安装虚拟机工具然后为虚拟机联网,网络类型为NAT再就是虚拟机和主机的共享设置,虚拟机保存快照和恢复快照安装系统下载地址:如果不能下载了就自己迅雷搜索下系统名称VMware Workstation下载地址:/d/7076395b644fdc8518e67ebc01e04c06ba0d367caa4e2c02 深度技术Windows XPSP3完美精简版V6·2安装版/Deepin-LiteXP-SP3.ISO深度会员windows2000精简版/search?search=%E6%B7%B1%E5%BA%A6%E4%BC%9A%E5%91%9 8-windows%202000&restype=-1&id=10000002&ty=0&pattern=0Windows Server 2003 SP2 企业版ISOftp://222.73.230.104/Windows Server 2003 SP2 企业版.iso企业版产品密钥:JCGMJ-TC669-KCBG7-HB8X2-FXG7M3.杀软安装和多个杀软的安装技巧要免杀,我们就得安装杀毒软件吧,那使用和安装杀软也是有技巧的,我们要安装这么多的杀软,那也不可能全去购买吧,那就得找试用版或找它们的注册码了。
分享下木马免杀的个人经验-电脑资料
分享下木马免杀的个人经验-电脑资料PE类:EXE. dll1.脱壳解密脱壳在木马免杀中由为重要!,。
所以希望大家好好学习脱壳脱壳的好坏直接影响到木马免杀效果(如果不完全脱壳,在<定位内存特征码>可能会使定位中没发现特征码但是运行中又发现木马。
)2.定位特征码一般从大范围定位后逐渐缩小范围(字节型)(个数型)一般从生成100个数的大致定位特征码后转入字节型定位。
单一文件特征码定位:CLL MYCLL multiCCL复合文件特征码定位:MYCLL multiCCL内存特征码定位:OD(一半一半定位) MYCLL multiCCL [一般都要确定你的文件是否完美完全脱壳后在进行文件特征码定位]3.特征码修改简单的等效代码转换如下:(不过有时改后也损坏文件所以看情况)push 变popje 变jnzadd 变 subadd ecx,2 可以改为sub ecx,-2加ecx内存器+2 减ecx内存器-2 - -2得=2上面的等效代码用不了还是乖乖用,JMP跳转法把特征码转移4.附加数据加密算法变形这个方法已经被pcshare冰雨发布了,就是pcshare附加数据的配置信息是xor 加密的。
被杀毒定义了所以我们只要改算法 xor 值变一下就可以了!5.RAR自解压(加密)说白就是捆绑而已呵呵,不过去除右键对部分杀毒有效无法分离出木马!可以躲避查杀而且可变性比较强所以还有用武之地!*******************************************************网页木马类: JS html htm asp 等1.拆分变量,电脑资料《分享下木马免杀的个人经验》(https://www.)。
用&连接符号,拆分变量2.加入垃圾代码。
和PE免杀花指令差不多,一些无用的垃圾变量或者空格一些特殊字符或者GIF98 类似的文件头来做“花指令”呵呵!3.等值代码修改把html全部改htm 效果一样4.代码添零在记事本中加入空格,然后用16进制的编辑器(Uedit32)打开把空格对应(20)替换成(00)即可该方法运用广泛。
免杀技术
源码配和无特征免杀
课程目录
免杀技术概述 免杀技术方法 总结
总结
通过我们以上的课程会学习到基础的免杀,但是随着杀毒软件的更新 我们会遇到更多新的技术挑战,免杀是分析各种恶意软件和各种安全 威胁的一种指导方法,我们在学习免杀技术的同时,还要从防御多角 度揭制免杀技术的具体方法策略,除了杀毒软件的主动防御以外。还 有云上传查杀,就算我们的木马过了杀毒软件,你会发现还有域名拦 截,是以主动拦截可疑上线方式的主动防御,还有网盾等等,那么我 们需要更多的学习和了解加密和主动行为技术,更好的学习免杀。
免杀技术
课程简介
本课程主要讲解了免杀技术的几种方法和常见使用手段,以及远程控 制软件和免杀结合在一起的概念,理解并学习免杀技术。
课程目录
免杀技术概述 免杀技术方法 总结
免杀技术概述
免杀的定义 免杀,也就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面, 英文为Anti-AntiVirus(简写Virus AV),逐字翻译为“反-反病毒”,翻译 为“反杀毒技术”。
免杀技术方法
修改特征码的常见技巧 等价替换法
当你定位出了杀毒软件的特征码的时候,你就要学会去修改,今天我们 来简单的说一下如何修改特征码的等价替换免杀方式,列如test eax,eax我 们就可以改成and eax,eax、sub eax,1 我们可以改成add eax,-1。 跳转法有很多比如杀在了一段代码上,我们可以把那段代码填充,然后 在OD里面再找一段空白的地方,把原来的那么短代码填充并且使用jmp指 令跳转到那段空白的地方,把杀毒杀的那段代码复制到空白处,在最下 面在用jmp、call等指令都可以再跳转回去就可以了。 当定位出特征码后直接在C32下右键然后填充00即可
免杀技术在计算机安全中的应用与研究
免杀技术在计算机安全中的应用与研究随着计算机技术的不断发展和普及,计算机安全问题日益突出。
恶意软件、病毒以及黑客攻击等不断涌现,给用户的信息安全和商业数据的保护带来了巨大威胁。
为了应对这一挑战,研究者们不断努力探索各种安全技术和措施,其中免杀技术在计算机安全领域起到了重要作用。
免杀技术是指一种可以绕过传统安全防御手段的技术,使恶意软件能够逃避杀毒软件和安全设备的检测,实现对主机系统的入侵。
它具有隐蔽性、持久性和自适应性的特点,是黑客攻击、间谍软件和病毒等恶意行为的利器。
因此,在计算机安全领域,对免杀技术的研究成为了当务之急。
免杀技术主要应用在恶意软件和黑客攻击中,通过绕过主机的安全设备和杀毒软件,使得恶意软件可以在目标主机上执行。
由于恶意软件开发者能够快速了解安全设备的工作原理和检测规则,他们可以通过加密、压缩、模糊以及变异等手段来对恶意代码进行改编,使其能够逃避安全设备和杀毒软件的检测。
在现代免杀技术中,多种技术手段被广泛应用。
其中,代码加密是一种常见的免杀技术手段。
恶意软件开发者通过使用加密算法对恶意代码进行加密,使得原有的恶意代码不再明文存在,从而逃避杀毒软件的检测。
此外,代码混淆和虚拟化也是免杀技术中常用的手段。
通过修改恶意代码的结构和逻辑,使其变得难以理解,从而使安全设备和杀毒软件无法准确判断其恶意性。
然而,免杀技术并非完美无缺。
研究者们也在不断努力研究新的检测方法和技术手段,以提升计算机安全的水平。
在免杀技术研究中,静态与动态分析是两种常见的检测方法。
静态分析通过对恶意代码进行反汇编和代码审计,识别其中的不正常行为和恶意特征,从而实现对恶意软件的检测。
而动态分析则是通过在安全环境中运行恶意代码,监测其行为和操作,并通过行为分析和模式识别来判断是否为恶意软件。
此外,人工智能技术的发展也为免杀技术的应用带来了新的机遇。
通过机器学习和深度学习算法,可以建立模型来自动识别和检测恶意软件。
研究者们可以基于大量的恶意软件样本进行训练,通过分析样本中的特征和行为模式,来构建有效的分类和检测模型。
免杀之谈
如果进来了就不要动,认真看完再走。
免杀技术之一:加花指令加花是病毒免杀常用的手段,加花的原理就是通过添加加花指令(一些垃圾指令,类型加1减1之类的无用语句)让杀毒软件检测不到特征码,干扰杀毒软件正常的检测。
加花以后,一些杀毒软件就检测不出来了,但是有些比较强的杀毒软件,像卡巴和NOD杀毒软件(这里我要非常严肃的说一下.个人经验.NOD32这款杀软还是不错的.加花指令和普通的壳对它完全不起作用.这杀软还是不错的.),病毒还是会被杀的。
这可以算是“免杀”技术中最初级的阶段。
免杀技术之二:加壳举例来说,如果说程序是一张烙饼,那壳就是包装袋,可以让你发现不了包装袋里的东西是什么。
比较常见的壳一般容易被杀毒软件识别,所以加壳有时候会使用到生僻壳,就是不常用的壳。
现在去买口香糖你会发现至少有两层包装,所以壳也可以加多重壳,让杀毒软件看不懂。
如果你看到一个袋子上面写着干燥剂、有毒之类的字你也许就不会对他感兴趣了吧,这就是伪装壳,把一种壳伪装成其他壳,干扰杀毒软件正常的检测。
免杀技术之三:修改特征码病毒加壳虽然可以逃过一些杀毒软件的查杀,但是却逃不过杀毒软件的内存杀毒,因此修改特征码成为逃避杀毒软件内存查杀的唯一办法。
举例来说,如果程序是一张烙饼,那特征码就像上面的芝麻,每一张饼上面的芝麻位置是不同的,所以每个程序包括病毒特定位置上面的字符也是不同,这粒用来识别是不是病毒的“芝麻” 就是特征码。
要修改特征码,就要先定位杀毒软件的病毒库所定位的特征码,这个有一定难度,需要有经验的黑客才能做到。
但是现在网络上有很多现成的工具可以定位出特征码,黑客们只需简单的修改就可以完成“免杀病毒”的制作了.加壳加壳的全称应该是可执行程序资源压缩,是保护文件的常用手段.加壳过的程序可以直接运行,但是不能查看源代码.要经过脱壳才可以查看源代码.加壳:其实是利用特殊的算法,对EXE、DLL文件里的资源进行压缩。
类似WINZIP 的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。
免杀原理及方法
一:灰鸽子免杀方法大全在所有的版本中,黑防的鸽子算是比较好做免杀的了,今天在这里,我就用他做案例1,最经典的OD一半一半定位法我们把整个黑色标记的区域看成是没有修改的木马代码把它从中间切平均分成两半,把其中的一半用nop 填充掉,再用瑞星杀内存,如果杀掉了就说明特征代码在我们没有nop 掉的一半,没有杀到就说明我们刚刚nop的一半中含有特征代码。
所演示的情况是特征代码在没有nop 掉的一半,然后一:灰鸽子免杀方法大全在所有的版本中,黑防的鸽子算是比较好做免杀的了,今天在这里,我就用他做案例1,最经典的OD一半一半定位法我们把整个黑色标记的区域看成是没有修改的木马代码把它从中间切平均分成两半,把其中的一半用nop 填充掉,再用瑞星杀内存,如果杀掉了就说明特征代码在我们没有nop 掉的一半,没有杀到就说明我们刚刚nop的一半中含有特征代码。
所演示的情况是特征代码在没有nop 掉的一半,然后我们再选择含有特征代码的一半,继续分半用nop 填了再杀。
这样我们的特征代码的范围就会越来越小。
整个过程新手估计也只要1个小时左右。
方法容易理解,效果好。
2,经典二CCL定位原理其实大同,都是要找特征码,然后做免杀。
因为过程很复杂..用文字很难表达,有需要的朋友可以私下找我,我那里有相关语音教程。
3,加壳,加花现在的加壳,加花软件百花齐放,而加了一个壳或者一个花之后,都能够给鸽子的服务端免杀起到广谱免杀的效果,但总感觉没前面介绍到的两种效果好,大家自己试一下就知道了。
想补充说的一点是,花和壳子最好弄的唯一一点。
不然很容易被杀,大家做了之后就知道我的意思了。
我个人感觉,那些"加区段修改入口点加密入口点"的方法,跟这个效果类似,所以就没另外分类二: 免杀方法和原理自从病毒与杀毒软件的诞生以来,他们之间的战争就从来没有停止过……多套特征码、自动脱壳、内存杀毒、主动防御等等的出现为网络安全做出了一次次的贡献,当然黑客们也毫不逊色,也出现了修改特征码、加双层变态壳、去文件头等新的免杀技术。
木马兔杀常识
六.修改文件特征码免杀法:
1.用到工具:特征码定位器,OllyDbg
2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要
达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好.
3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程.
第四部分:快速定位与修改瑞星内存特征码
一. 瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符
串作为病毒特征码,这样对我们的定位和修改带来了方便.
二定位与修改要点:1>.首先用特征码定位器大致定位出瑞星内存特征码位置
2>.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是
还有其它免杀方案可根据第五部分任意组合.
免杀操作就不能进行下去。
二.然后我们要木马的内存免杀,从上面分析可以看出,目前的内存查杀,只有
瑞星最强,其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀
,要进行内存特征码的定位和修改,才能内存免杀。
二.对符其它的杀毒软件,比如江民,金山,诺顿,卡巴.我们可以采用下面的方
免杀效果更佳.
五.打乱壳的头文件或壳中加花免杀法:
1.用到工具:秘密行动 ,UPX加壳工具.
2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好.
3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款
工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.
2.特点:非常简单实用,但有时还会被卡巴查杀.
3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可.
木马免杀几个方法
木马免杀几个方法操作步骤:第一步:用OD载入,来到程序的入口点。
第二步:把入口点的第一句PUSH EBP 改成POP EBP 然后保存就可以躲过瑞星的表面查杀。
绝招二:快速定位与修改瑞星内存特征码原理:因为目前的内存查杀杀毒软件,只有瑞星才能威胁到我们的木马。
也就是说只要搞定瑞星的内存查杀,那我们的木马在内存就畅通无阻了.但由于技术原因,目前瑞星的内存特征码在90%以上把字符串作为病毒特征码,这样对我们的定位和修改带来了方便.操作步骤:第一步:首先用特征码定位器大致定位出瑞星内存特征码位置.第二步:然后用UE打开,找到这个大致位置,看看,哪些方面对应的是字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征码后,只要把字符串的大小写互换就能达到内存免杀效果.绝招三:如何快速躲过诺顿的查杀诺顿的查杀特点:大家有时候会发现,通过改特征码,加花指令,改内存特征码,等等,卡巴,江民,金山,瑞星都过了,但无论如何都过不了诺顿,这时候是不是感到很纳闷.其实诺顿特征码的定义和其它杀毒软件不一样,其它杀毒软件的特征码都在代码段而只有它把特征码定义在PE头文件里面.而在头文件里面,一般都用字符串作为病毒特征码,知道了原理,就有下面的二种方法来应付.方法一:只要把头文件的字符串的大小字互换一下就可以搞定了.方法二:有二款压缩软件WinUpack和北斗星,经过他们的压缩,会把我们的木马程序的头文件改的面目全非.所以把我们的木马做好其它的杀毒软件的免杀后,再用这二款压缩软件的压缩就可以躲过诺顿的查杀.绝招四:一个不太通用的免杀方法免杀方法一:把入口点第三句开始的几行(20字节内)汇编代码移到零区域去执行,也达到一定的免杀效果.绝招五:用VC++加了花指令后入口点下移法操作过程:加花指令后,可以把入口点下移好一位,这样可以进一步达到免杀效果.。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
超全面的免杀技术经验总结免杀技术经验总结(感觉经典)学习免杀,首先你得学会汇编把,基础的指令要懂得一些,一般的指令修改必须会,一般的修改这里就不赘述了,接下来就是掌握一些常用的免杀技巧,这里总结一些第一:我们学习免杀的方向:只是为了保护自己的黑软的话!就不会学的那么累(没必去学汇编编程)有时候简单加下壳或者脱下壳就OK!如果是要挑战世界的杀毒软件的话,毕竟每个PC用户安装的杀软都不一样!想抓鸡拿服务器的朋友就要进修脱壳破解,高级汇编的内容了,这将决定你免杀技术的高低!第二:免杀的环境:做免杀,逃不了测试这个木马是不是修改成功!所以为了保护自己的系统,我建议学免杀要先学会使用虚拟机,很多人会说,为什么不用影子?影子系统虽然也是可以保护的,暂用资源又少,但是有些反弹型木马,我们运行后如果失败(即使成功)都需要重启来完成完全清除的工作!做过QQ盗号木马跟黑鹰远控软件免杀的朋友应该深有体会!第三:杀软的安装设置:个人建议安装卡巴,NOD32,小红伞,瑞星,金山!(当然配置好的电脑可以再加上江民,麦咖啡)!硬盘大的朋友建议全利用虚拟机安装杀软(方便以后重做系统,节省升级病毒库的时间)杀软的设置,可以说是很简单的!每安装完一个杀软,我们都要先在杀软设置里把监控跟自我保护的选项的钩去掉!然后升级病毒库!升级完后再关闭服务跟启动项(利用360安全卫士)这样安装其他的杀软就不会起冲突了!这里注意下!瑞星升级后会自己更改自己的服务为自动,所以瑞星建议最后装,最后升级,再关闭它的服务!这里我想大家肯定是关心杀软的序列号从哪来的吧!瑞星有体验版,金山有37天试用版,NOD32利用PPLOVE网络电视有180天试用!卡巴等洋货在百度上搜索均有可用的序列号!这个就是考验大家的细心了!呵呵!卡巴不建议装6.0.7.0的,人家都在央视打广告了,我们就装2009把!(虽然卡巴的启发比不上NOD32的,但是它的主动可是免杀爱好者的"粉丝")杀软的查杀特点:卡巴:主动+高启发扫描~~,效果相当厉害,卡巴的主动非常麻烦,SSDT也被封了,启发式也极难通过,还是要取决于木马本身的实力了,瑞星:国内木马的超级对手可以这么说!对国内的木马定位的特征是洋货的N倍(鸽子见证)主要查杀技术是内存查杀技术,但是对一些生僻的木马,内存病毒库里竟然没有,只要过了表面就可以过内存......主动主杀敏感字符串,不过2009的主动貌似改进了不少......广告卖的倒不错,但是只是针对流行木马!其他不常见木马并没有加大什么强度!NOD32:启发扫描的头领!主杀输入表函数,针对MYCCL定位器做过调整!定位建议用multiCCL这个来定位!不过这个大块头对生僻壳的侦壳能力不强!加些生僻壳把一些函数保护起来可以让它无用武之地!(这类壳主要是加密型,不建议用压缩型)金山:数据流查杀技术的代表!简单来说跟瑞星内存查杀技术有点一样!病毒库升级,查杀病毒速度都是超级快!但是杀毒能力比较上面的几款有点逊色!360与金山清理专家:行为查杀的代表,金山清理专家比360查杀力度还大!但是监控能力......实在不想说!不过360的5.0版加了木马云查杀,据说不是很好过(没试过~~~)以上可以说是所有集合杀软的特点:文件查杀,内存查杀,启发查杀,数据流查杀!行为查杀!主动防御!每个杀软都有自己的特点,一个人也不可能把全球杀软都安装起来研究,但是以上4个杀软跟一个辅助可以说全包括了病毒查杀特点!也不能说哪个不好,哪个很好!有些木马这个杀软杀不出来~~那个就可以杀出来!所以对于现在网上有些朋友对个别杀毒软件不重视,就会导致你所谓的"肉鸡"插翅难飞!嘻嘻!接下来就说说技巧方面的1.比如你定位一个特征码定位到了一个字符串上我们比如这个特征码定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run,遇到这个我想大家一定是修改大小写吧,但是有时候修改大小写还是被杀。
这个我们可以怎么办呢,我们可以移动位置,因为这个肯定是一个api函数的参数,我们找到那个函数然后修改下调用地址就行了。
所以有时候大家不能总用通用方法,要学会变通。
2.NOD32的疑问,前天有人来问我他说它定位NOD32,定位到了资源上,这个有一个可能是你的定位有错误。
这个你可以通过multiccl把资源和输入表段保护起来,然后定位,看可以定位出其他的特征码不能,至于MYCCL,一般的定位最好在代码段开始定位,填充可以选择FF,66什么的,或者反向定位,定位的方法很多的,别人填充00,你就填充00么,现在的杀软已经把myccl扒的一干二净了,有反定位措施...3.花指令花指令无非是一些干扰程序调试的一些手段,当然也可以作为用来迷惑杀毒软件使杀毒软件找不到我们的特征码,从而达到免杀。
为什么大家总是喜欢用网上的一些什么花指令方法。
其实我发现其实多调用一些子程序,多加一些跳转,要比你们写花指令要好的多。
不过本人不推荐使用花指令免杀.4.为什我服务端做了免杀,可是生成出来被杀。
这个大家首先可以对比一下有什么不同的地方,这个我给大家一个思路,现在杀毒软件就喜欢定位有标志型意义的地方(通俗点讲版权信息),大家在做的时候因为为了保护我们的木马,所以就委屈下原作者,呵呵。
版权信息给改了。
还有一个就是比如说灰鸽子,现在杀软会定位到它的一些dll文件名上,你修改完dll 然后找到调用dll文件的函数,然后修改下参数即可。
高强度花指令--SEHSEH是WINDOWS系统中处理计算机异常行为的一种方式,这种方式的特点就是用入栈的方式把断点保存起来,所以他的效率很高,往往能够处理很多的异常状态。
在免杀中我们可以通过它给木马加花,让他"错误"地跳到入口点。
奉上汇编代码如下:push 原入口点-OEPmov eax,dword ptr fs:[0]push eaxmov dword ptr fs:[0],espmov ebx,0div ebx复制代码这样混淆的强度就很大了,其实还有很多这样的方法,自己漫漫研究把。
转载小鱼和Medusa的免杀技巧1. 遇到特征码定位在jmp指令上面的构造替换push xxxxx ret。
举例: jmp xxxxx构造替换push xxxxxret2. 遇到特征码定位在call指令上的。
举例:call xxxxx构造替换: push @fjmp xxxxx@@:;@@的标号表示的是你jmp xxxx指令后面的内存地址。
@f也就是引用@@ 的标号,所以此时@f这里填写的就是jmp xxxxx指令后面的内存地址。
3. 遇到特征码定位在ret上举例: ret构造替换:jmp dword ptr [esp]4. 遇到特征码定位在test eax, eax je xxxx or eax, eax, je xxxxx cmp eax, 0 jexxxxxx举例: test eax, eaxje xxxxxx构造替换: xchg eax, ecxjecxz xxxxx5. 遇到特征码定位在push [xxxxxx]上的。
举例:push [xxxxx]构造:在其之前通过xchg [xxxxxx], ebx然后用寄存器传参: push ebx最后在下面在通过xchg [xxxxxx], ebx 交换回来。
6. 数据段动态恢复和巧用算法加密结合起来。
前提是对汇编大家一定要有所了解,例如一些人说金山杀的是配置信息上,你完全可以将其这些配置信息所处的地址的数据进行一层加密。
或者你可以将其这些偏移所处的数据通过xchg 交换。
dll注意下要进行重定位call $+5 ;机器码是E8 00000000 00000000是相对地址@@: pop ebxsub ebx, @b下面你就可以通过[ebx+你的偏移]来进行变址寻址了。
test eax,eaxje xxxxxx将test eax,eax nop掉,改je为jb或将两句nop掉test eax,eaxjnz xxxxxx将两句nop掉mov ebx,xxxxxxmov ebp,eax双mov可以上下调换add edx, dword ptr [ebp+6E]imul esi, dword ptr [edi+ebx*2+44], 614D6C6Cimul ebp, dword ptr [esi], 000 0000 00考虑下移and eax,80000007改为:or eax,7FFFFFF9用C32asm改,80000007为-80000007,C32asm会自动变为80000007的负数7FFFFFF9 je 等于则跳改成jle 也是等于则跳这是瑞星的新把戏00436008 09C0 xor EAX,EAX改为00436008 09C0 OR EAX,EAX004A19BD 6A 00 PUSH 0改为004A19BD 6A 01 PUSH 10049D775 /77 07 JA SHORT 021.0049D77E改为0049D775 /7F 07 JG SHORT 021.0049D77E特征码定位出来用OD载入却显示无此地址的解决方法也许你经常遇到特征码定位出来用OD载入却显示无此地址.我们用灰鸽子VIP2006的GETKEY.DLL做演示.假若特征码为[特征] 000009DA_00000002 004015DA (OC导出的内存地址)使用OC导出的地址到OD中却不能使用.这时用lordpe打开GETKEY.dll 0001300000400000 上下相加得00413000OD载入入口为00883000 > 55 PUSH EBP把40换成87就是真正的特征码.008715DADll实例(黑洞1.97 瑞星dll特征):OK=1CharactorTotal=3Codz1=H_0000354C_0092414CCodz2=H_0001A4B4_0093B0B4Codz3=H_0003C958_0095D558先用lord_PE打开,再用OD打开文件入口:00042948> -------> 00442948镜像:00400000>----------->相减00520000内存入口00962948零区无法定位可执行文件数据的问题1.c32asm来解决,静态反汇编改特征2.加一0区段,跨区段jmp跳,然后再新区段保存"所有修改",再回到原特征码处jmp,保存免杀关键是技巧,关键你对这些汇编指令掌握的程度,以及你对汇编程序的熟练度。
接下来再说一下NOD32的高启《一个钉子和一个国家灭亡的故事》大家都知道如果有那一个钉子,不丢那个马掌,不折那匹战马,不伤那位将军…………有太多不确定了,只要我们破坏了其中任何一个环节启发杀毒就会全线溃败。