木馬免殺,在國(guó)內(nèi)應(yīng)該起源于05年吧.從那時(shí)單一特征碼到現(xiàn)在復(fù)合特征碼,殺毒軟件從無(wú)主動(dòng)防御到有主動(dòng)防御.免殺技術(shù)越來(lái)越難.但是萬(wàn)變不離其宗--改特征碼.到現(xiàn)在一些輔助軟件的行為查殺.

　　以下講解都是以遠(yuǎn)程控制軟件為例(這里補(bǔ)充一個(gè)概念,木馬的反彈技術(shù),就是服務(wù)端主動(dòng)連接客戶端.何謂主動(dòng)連接呢,你只要把客戶端軟件在本機(jī)上開(kāi)啟后,中馬的機(jī)子會(huì)主動(dòng)連接上你的那個(gè)軟件,而不必你去找他的IP,再與他連接,這樣省去了不少麻煩)

　　因?yàn)楝F(xiàn)在的主動(dòng)防御太強(qiáng)悍,尤其是卡巴,瑞星的主動(dòng)防御是基于特征碼,所以很容易過(guò).選遠(yuǎn)控軟件的時(shí)候應(yīng)該選一個(gè)本身就過(guò)殺軟的,如PCSHARE,iRaT+Classic,gh0st等等,我個(gè)人覺(jué)得這幾個(gè)軟件都不錯(cuò),而且免殺容易.

　　行為查殺:大多數(shù)的木馬有默認(rèn)的釋放路徑,而且安裝好后有幾個(gè)專用名詞,如灰鴿子安裝好后,就用"灰鴿子安裝完畢","黑防鴿子"安裝好后有"黑防專版"等字樣,這些都是作為行為查殺木馬的特征.配置時(shí)候把路徑改掉,配置好后用C32ASM把里面的字符找到后替換掉就可以了.

　　最關(guān)鍵的我還是認(rèn)為是特征碼,也許大多數(shù)的人認(rèn)為是主動(dòng)防御.因?yàn)閺奈矣民R的經(jīng)驗(yàn)來(lái)說(shuō),像PCshare,iRaT+Classic等,只要改了特征碼后,主動(dòng)照過(guò).因?yàn)檫@些軟件本身就過(guò)殺軟的主防.講一下我改特征碼的經(jīng)驗(yàn)吧:

　　1,定位出特征碼后,不要急著改特征碼,應(yīng)該先看看前面與后面的,我定位PCSHARE的時(shí)候定位出system.sys(小數(shù)點(diǎn)是被殺的， 也就是特征碼)， 而我把小數(shù)點(diǎn)前面的system改成大寫后就過(guò)那款殺毒軟件了。 這就說(shuō)， 不要定位到哪里， 就改到哪里。

　　2,定位到CAll時(shí)， 應(yīng)該試試這樣：例， 定位到call 12345678,這樣一個(gè)， 你試試改成 call 12345677， 就是減1， 這種方法很有用

　　3.定位到PE頭時(shí)， 應(yīng)該P(yáng)E頭移位， 我不詳細(xì)講， 這個(gè)網(wǎng)上看看方法， 很簡(jiǎn)單的， 只是簡(jiǎn)單的計(jì)算一下， 移位一下。 第二種方法， 我聽(tīng)群里朋友說(shuō)， 但自己還沒(méi)有試過(guò)， 就是用北斗加一下殼， 然后再脫殼， 這樣可以免殺，

　　4,定位到輸入表時(shí)， 也是相應(yīng)的移位， 這個(gè)網(wǎng)上方法也很多。 因?yàn)槭菧\談嘛， 所以不詳細(xì)說(shuō)， 只是提示一下， 你在查免殺方法的同時(shí)， 會(huì)學(xué)到很多

　　5,第五是加一減一法， 如果定位到數(shù)字或者其它什么符號(hào)時(shí)， 加一減一試試， 這個(gè)我也試過(guò)， 有時(shí)候挺有用的

　　6,先加一個(gè)殼， 再定位特征碼， 這樣能減少特征碼的修改。

　　7.跳轉(zhuǎn)法。 找個(gè)零區(qū)域， 或者自己插入一個(gè)更佳， 把代碼移到零區(qū)域， 這是一種常用的方法

　　8.對(duì)付卡巴， 花指令很有效的， 花指令如何寫呢， 首先花指令就是一堆廢話， 沒(méi)有用的， 你惟一要做的就是維持堆棧平衡， 不然要出錯(cuò)的。