木马免杀技术

木马免杀技术

一、杀毒软件的查杀模式

杀毒软件的查杀模式分三种

1.文件查杀

2.内存查杀

3.行为查杀

这三种是目前杀毒软件常用的杀毒模式。

所谓的文件查杀就是杀毒软件对磁盘中的文件进行静态扫描，一旦发现文件带有病毒库中的病毒特征代码就给予查杀。

内存查杀是杀毒软件把病毒特征代码释放到内存中，然后与内存中的文件进行比对，发现有文件中带有病毒特征代码就给予查杀。现在最厉害的内存查杀当然是瑞星了，其他杀毒软件也有内存查杀但比不上瑞星的厉害。

行为杀毒是杀毒软件用木马运行后的一些特定的行为作为判断是否为木马的依据。比如：啊拉QQ大盗在运行后会增加一个名为NTdhcp.exe的进程，还有彩虹桥的服务端在运行后会在注册表添加名为HKLM\SOFTWARE\Microsoft\Active Setup\Installed

Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}\stubpath的键值。行为杀毒的典型杀毒软件—绿鹰PC万能精灵。

二.根据杀毒软件的查杀模式总结出免杀方法

主要针对文件的文件查杀和内存查杀

1.文件查杀

A.加壳免杀

B.修改壳程序免杀

C.修改文件特征代码免杀

D.加花指令免杀

2.内存查杀

A.修改内存特征代码

B.阻止杀毒软件扫描内存

====================================================== ================

A.加壳免杀建议你选择一些生僻壳、茾@恰⑿驴牵 蛘呒佣嘀乜牵 馍钡氖奔洳怀?可能很快被杀,不过和加密工具配合使用一些杀毒软件是很容易过的但瑞星的内存不过。

B.修改壳程序免杀主要有两种：一是通过加花指令的方法把壳伪装成其它壳或者无壳程序。

C.修改文件特征代码免杀，此方法的针对性是非常强的，就是说一般情况下你是修改的什么杀毒软件的特征代码，那么就只可以在这种杀毒软件下免杀。以前常用的工具有CCL特征码定位器，不过现在用起来不是那么方便了，比如黑防鸽子他有多出特征代码，给新手学习定位增加了一定的难度，现在主要推荐的是MYCCL特征码定位器，个人感觉定位速度快，准确率高，尤其对那些有多处特征码的定位。如黑防鸽子的卡巴文件特征代码：

特征码物理地址/物理长度如下:

[特征] 000A0938_00000002

[特征] 000A0B26_00000002

[特征] 000A0E48_00000002

[特征] 000A1300_00000002

[特征] 000A14F4_00000002

[特征] 000A1520_00000003

特征码分布示意图:

[--------------------------------------------------]

[--------------------------------------------------]

[--------------------------------------------------]

[--------------------------------------------------]

[----------------MM--------------------------------]

主要方法是：1.修改字符串大小写法

2.直接修改特征码的十六进制法

3.指令顺序调换法

4.通用跳转法

5.等价替换法

D.加花指令免杀此方法通用性强，而且效果好。主要有两种：加区加花和去头加花。

修改内存特征代码

---------------------------------------------------------------------

A.目前内存杀毒的杀毒软件强的并不多。比如：KV 虽然有内存杀毒但是它的内存病毒库是非常弱的，基本没有什么东西。卡巴斯基的内存杀毒其实不是真正意义上的内存杀毒，木马在卡巴斯基下一但文件免杀，内存也就免杀了。内存杀毒强的我个人认为还是我们国内的杀毒软件瑞星。修改内存特征代码对于初学免杀的朋友来说，难点应该是在内存特征代码定位上。以前常用的工具有CCL特征码定位器，不过现在用起来不是那么方便了，比如黑防鸽子他有多出特征代码，给新手学习定位增加了一定的难度，现在主要推荐的是MYCCL特征码定位器，个人感觉定位速度快，准确率高，尤其对那些有多处特征码的定位。至于修改内存特征码的方法有跳转修改法和直接修改法。

B. 阻止杀毒软件扫描内存，现在常用的工具是免疫007，不过效果不算太完美。

这些是现在较常用的免杀方法，当然还有其他的方法后续吧。