一.關(guān)于免殺的來源

為了讓我們的木馬在各種殺毒軟件的威脅下活的更久.

二.什么叫免殺和查殺

可分為二類:

1.文件免殺和查殺:不運(yùn)行程序用殺毒軟件進(jìn)行對(duì)該程序的掃描， 所得結(jié)果。

2.內(nèi)存的免殺和查殺:判斷的方法1>運(yùn)行后,用殺毒軟件的內(nèi)存查殺功能.

                                          2>用OD載入,用殺毒軟件的內(nèi)存查殺功能.

三.什么叫特征碼

1.含意:能識(shí)別一個(gè)程序是一個(gè)病毒的一段不大于64字節(jié)的特征串.

2.為了減少誤報(bào)率,一般殺毒軟件會(huì)提取多段特征串,這時(shí),我們往往改一處就可達(dá)到

免殺效果,當(dāng)然有些殺毒軟件要同時(shí)改幾處才能免殺.(這些方法以后詳細(xì)介紹)

3.下面用一個(gè)示意圖來具體來了解一下特征碼的具體概念

四.特征碼的定位與原理

1.特征碼的查找方法:文件中的特征碼被我們填入的數(shù)據(jù)（比如0）替換了， 那殺毒軟

件就不會(huì)報(bào)警， 以此確定特征碼的位置

2.特征碼定位器的工作原理:原文件中部分字節(jié)替換為0， 然后生成新文件， 再根據(jù)殺

毒軟件來檢測(cè)這些文件的結(jié)果判斷特征碼的位置

五.認(rèn)識(shí)特征碼定位與修改的工具

1.CCL(特征碼定位器)

2.OOydbg (特征碼的修改)

3.OC用于計(jì)算從文件地址到內(nèi)存地址的小工具.

4.UltaEdit-32(十六進(jìn)制編輯器,用于特征碼的手工準(zhǔn)確定位或修改)

六.特征碼修改方法

特征碼修改包括文件特征碼修改和內(nèi)存特征碼修改， 因?yàn)檫@二種特征碼的修改方法

是通用的。 所以就對(duì)目前流行的特征碼修改方法作個(gè)總節(jié)。

方法一:直接修改特征碼的十六進(jìn)制法

1.修改方法:把特征碼所對(duì)應(yīng)的十六進(jìn)制改成數(shù)字差1或差不多的十六進(jìn)制.

2.適用范圍:一定要精確定位特征碼所對(duì)應(yīng)的十六進(jìn)制,修改后一定要測(cè)試一下能

否正常使用.

方法二:修改字符串大小寫法

1.修改方法:把特征碼所對(duì)應(yīng)的內(nèi)容是字符串的,只要把大小字互換一下就可以了.

2.適用范圍:特征碼所對(duì)應(yīng)的內(nèi)容必需是字符串,否則不能成功.

方法三:等價(jià)替換法

1.修改方法:把特征碼所對(duì)應(yīng)的匯編指令命令中替換成功能類擬的指令.

2.適用范圍:特征碼中必需有可以替換的匯編指令.比如JN,JNE 換成JMP等.

如果和我一樣對(duì)匯編不懂的可以去查查8080匯編手冊(cè).                    

方法四:指令順序調(diào)換法

1.修改方法:把具有特征碼的代碼順序互換一下.

2.適用范圍:具有一定的局限性,代碼互換后要不能影響程序的正常執(zhí)行

方法五:通用跳轉(zhuǎn)法

1.修改方法:把特征碼移到零區(qū)域(指代碼的空隙處),然后一個(gè)JMP又跳回來執(zhí)行.

2.適用范圍:沒有什么條件,是通用的改法,強(qiáng)烈建議大家要掌握這種改法.

七.木馬免殺的綜合修改方法

文件免殺方法：

1.加冷門殼

2.加花指令

3.改程序入口點(diǎn)

4.改木馬文件特征碼的5種常用方法

5.還有其它的幾種免殺修改技巧

內(nèi)存免殺方法：

修改內(nèi)存特征碼：

方法1>直接修改特征碼的十六進(jìn)制法

方法2>修改字符串大小寫法

方法3>等價(jià)替換法

方法4>指令順序調(diào)換法

方法5>通用跳轉(zhuǎn)法