源碼免殺工具
⑴ 怎麼學習免殺
免殺技術的分類1、開源免殺:指在有病毒、木馬源代碼的前提下,通過修改源代碼進行免殺。
2、手工免殺:指在僅有病毒、木馬的可執行文件(PE文件)的情況下進行免殺。 [編輯本段]五、怎樣了解、學習免殺目前國內有關於介紹黑客免殺技術的書籍共有兩本《黑客免殺入門》與《精通黑客免殺》。
《黑客免殺入門》為近期出版,但其介紹的內容更加詳細,內容講解更為透徹,更有深度。
《精通黑客免殺》較早出版,因而有關於免殺技術的介紹不是很詳細,但其附帶的光碟中附帶了幾百兆的操作漏慎錄像,是不可多得的寶貴資源。 [編輯本段]六、免殺技術概覽手工免殺分類:
1.文件免殺和查殺:不運行程序用殺毒軟體進行對該程序的掃描,所得結果。
2.內存的免殺和查殺:判斷的方法1>運行後,用殺毒軟體的內存查殺功能.
2>用OD載入,用殺毒軟體的內存查殺功能.
什麼叫特徵碼:
1.含意:能識別一個程序是一個病毒的一段不大於64位元組的特徵串.
2.為了減少誤報率,一般殺毒軟體會提取多段特徵串,這時,我們往往改一處就可達到
免殺效果,當然有些殺毒軟體要同時改幾處才能免殺.(這些方法以後詳細介紹)
3.下面用一個示意圖來具體來了解一下特徵碼的具體概念
特徵碼的定位與原理:
1.特徵碼的查找方法:文件中的特徵碼被我們填入的數據(比如0)替換了,那殺毒軟
件就不會報警,以此確定特徵碼的位置
2.特徵碼定位器的工作原理:原文件中部分位元組替換為0,然後生成新文件,再根據殺
毒軟體來檢測這些文件的結果判斷特徵碼的位置
認識特徵碼定位與修改的工具:
1.CCL(特徵碼定位器)
2.OllyDbg (特徵碼的修改)
3.OC(用於計算從文件地址到內存地址的小工具)
4.UltaEdit-32(十六進制編租租輯器,用於特徵碼的手工准確定位或修改)
特徵碼修改方法:
特徵碼修改包括文件特徵碼修改和內存特徵碼修改,因為這二種特徵碼的修改方法
是通用的。所以就對目前流行的特徵碼修改方法作個總節。
方法一:直接修改特徵碼的十六進製法
1.修改方法:把特徵碼所對應的十六進制改成數字差1或差不多的十六進制.
2.適用范圍:一定要精確定位特徵碼所對應的十六進制,修改後一定要測試一下能
否正常使用.
方法二:修改字元串大小寫法
1.修改方法:把特徵碼所對應的內容是字元串的,只要把大小字互換一下就可以了.
2.適用范圍:特徵碼所對應的內容必需是字元串,否則不能成功.
方法三:等價替換法
1.修改方法:把特徵碼所對應的返型敬匯編指令命令中替換成功能類擬的指令.
2.適用范圍:特徵碼中必需有可以替換的匯編指令.比如JN,JNE 換成JMP等.
如果和我一樣對匯編不懂的可以去查查8080匯編手冊.
方法四:指令順序調換法
1.修改方法:把具有特徵碼的代碼順序互換一下.
2.適用范圍:具有一定的局限性,代碼互換後要不能影響程序的正常執行
方法五:通用跳轉法
1.修改方法:把特徵碼移到零區域(指代碼的空隙處),然後一個JMP又跳回來執行.
2.適用范圍:沒有什麼條件,是通用的改法,強烈建議大家要掌握這種改法.
木馬免殺的綜合修改方法:
文件免殺方法:
1.加冷門殼
舉例來說,如果說程序是一張烙餅,那殼就是包裝袋,可以讓你發現不了包裝袋裡的東西是什麼。比較常見的殼一般容易被殺毒軟體識別,所以加殼有時候會使用到生僻殼,就是不常用的殼。現在去買口香糖你會發現至少有兩層包裝,所以殼也可以加多重殼,讓殺毒軟體看不懂。如果你看到一個袋子上面寫著乾燥劑、有毒之類的字你也許就不會對他感興趣了吧,這就是偽裝殼,把一種殼偽裝成其他殼,干擾殺毒軟體正常的檢測。
2.加花指令
加花是病毒免殺常用的手段,加花的原理就是通過添加加花指令(一些垃圾指令,類型加1減1之類的無用語句)讓殺毒軟體檢測不到特徵碼,干擾殺毒軟體正常的檢測。加花以後,一些殺毒軟體就檢測不出來了,但是有些比較強的殺毒軟體,像江民殺毒軟體,病毒還是會被殺的。這可以算是「免殺」技術中最初級的階段。
3.改程序入口點
4.改木馬文件特徵碼的5種常用方法(參見「修改內存特徵碼」)
5.還有其它的幾種免殺修改技巧
修改內存特徵碼:
1.直接修改特徵碼的十六進製法
2.修改字元串大小寫法
3.等價替換法
4.指令順序調換法
5.通用跳轉法
⑵ DLL360免殺怎麼弄
需要用易語言編寫dll結合bat運行繞過360免殺。
1、源碼定位,首先刪減源碼,然後編譯,如果報毒,繼續刪減,直到不報毒為止,定位出報毒的子程序。
2、在敏感代碼前後,子程序前後,添加大量無意義的不報毒命令。
3、編譯後替換資源,建議替換360相關產品(非殺毒衛士)下帶證書的資源,最好是dll文件,越大越好。
4、壓縮殼或者加密殼,建議upx壓縮殼最高壓縮。
垃圾代碼最好寫成那種運算速度快的,否則會對你軟體的運行速度造成影響。
⑶ asp大馬和小馬是什麼意思
想ASP大馬,一般就是指海洋之類的ASP木馬,他們體積較大,但功能也很全。
所謂ASP小馬,一般指站長助手、一句話木馬等。他們體積很小,一般在拿webshell是都是先上上傳站長助手,在通過它上傳大馬的。這就是雜志上經常提到的「小馬傳大馬」
⑷ ASP小馬跟ASP大馬是什麼意思
希望採納給個好評(能解決+原創+5星),謝謝~~一功能復雜
一功能簡單1、大馬太大
2、容易被殺所謂的大馬就是webshell俗稱後門,只一扇大門,進了門就可以「為所欲為」
而小馬只製造這個門所用的工具,小馬是一個上傳平台,它可以將源代碼上傳到對方伺服器並保存文件,而這個源代碼就是大馬。
小馬是免殺的,而大馬有的會被殺掉,通過這個方法還可以起到一點點免殺大馬的效果
促進網路安全進步,維護國內網路安全,各位小黑老黑不要做對國內網路破壞的行為。按字面意思都能看出來吖。。 一個文件大 一個文件小點。。 大馬直接上傳就能拿到WEBSHELL。 而小馬只是一個大馬上傳路徑。希望你可以理解,我再不知道怎麼解釋了
⑸ 怎麼做免殺越詳細越好
這樣一時半會時說不明白的,我煉緊要的說
(以下先介紹反匯編免殺)
第一步:你需要一本面紗的書如非安全出版的《反匯編揭露黑客免殺技巧》。進行基礎性了解。
第二步:了解當下殺毒軟體的查殺特點,認識雲查殺和特徵碼查殺以及行為綜合查殺等。
第三步:了解免殺技術分類:如內部免殺和外部免殺,特徵碼免殺以及文件免殺等
第四步:搭建調試環境,你需要一個虛擬機來測試你的木馬免殺效果。如果你覺得不保險,可以在安 裝冰點還原。(我的網站:google:青揚班 第一個即可)
第五步:你需要知道PE結構(這是指文件的一般格式);輸入表和輸出表;以及什麼是程序的殼。
第六步:你需要知道什麼是匯編和反匯編(即機器語言和高級語言的區別)知道電腦內存基本的寄存器和內存80386定址原理。和各種匯編命令如jmp,je,xor等
第七步:開始免殺。認識你自己的免殺工具如OD,OC,C32等
(常見面紗方法有加花免殺,加殼免殺,等價替換指令免殺,跳轉面紗,大小寫轉換免殺,異化演算法免殺等等,如果你是玩asp馬的,還有腳本免殺)
源碼免殺介紹如下:
通過修改源代碼即可(很好面紗的)這里不說啦
如果你有什麼不明白請google:青揚班
點擊第一個網站即可,我們可以交流。
⑹ 免殺的方法
一.入口點加1免殺法:
1.用到工具PEditor
2.特點:非常簡單實用,但有時還會被卡巴查殺]
3.操作要點:用PEditor打開無殼木馬程序,把原入口點加1即可
【二.變化入口地址免殺法:】
1.用到工具:OllyDbg,PEditor
2.特點:操作也比較容易,而且免殺效果比入口點加1點要佳.
3.操作要點:用OD載入無殼的木馬程序,把入口點的前二句移到零區域去執行,然後
又跳回到入口點的下面第三句繼續執行.最後用PEditor把入口點改成零區域的地址
【三.加花指令法免殺法:】
1.用到工具:OllyDbg,PEditor
2.特點:免殺通用性非常好,加了花指令後,就基本達到大量殺毒軟體的免殺.
3.操作要點:用OD打開無殼的木馬程序,找到零區域,把我們准備好的花指令填進去
填好後又跳回到入口點,保存好後,再用PEditor把入口點改成零區域處填入花指令的著地址.
【四.加殼或加偽裝殼免殺法:】
1.用到工具:一些冷門殼,或加偽裝殼的工具,比如木馬綵衣等.
2.特點:操作簡單化,但免殺的時間不長,可能很快被殺,也很難躲過卡巴的追殺
3.操作要點:為了達到更好的免殺效果可採用多重加殼,或加了殼後在加偽裝殼的免殺效果更佳
【五.打亂殼的頭文件或殼中加花免殺法:】
1.用到工具:秘密行動 ,UPX加殼工具.
2.特點:操作也是傻瓜化,免殺效果也正當不錯,特別對卡巴的免殺效果非常好
3.操作要點:首先一定要把沒加過殼的木馬程序用UPX加層殼,然後用秘密行動這款
工具中的SCramble功能進行把UPX殼的頭文件打亂,從而達到免殺效果.
【六.修改文件特徵碼免殺法:】
1.用到工具:特徵碼定位器,OllyDbg
2.特點:操作較復雜,要定位修改一系列過程,而且只針對每種殺毒軟體的免殺,要達
到多種殺毒軟體的免殺,必需修改各種殺毒軟體的特徵碼.但免殺效果好
[特徵碼修改方法]
特徵碼修改包括文件特徵碼修改和內存特徵碼修改,因為這二種特徵碼的修改方
法是通用的。所以就對目前流行的特徵碼修改方法作個總節。
[方法一:直接修改特徵碼的十六進製法]
1.修改方法:把特徵碼所對應的十六進制改成數字差1或差不多的十六進制.
2.適用范圍:一定要精確定位特徵碼所對應的十六進制,修改後一定要測試一下能否正常使用.
[方法二:修改字元串大小寫法]
1.修改方法:把特徵碼所對應的內容是字元串的,只要把大小字互換一下就可以了.
2.適用范圍:特徵碼所對應的內容必需是字元串,否則不能成功.
[方法三:等價替換法]
1.修改方法:把特徵碼所對應的匯編指令命令中替換成功能類擬的指令.
2.適用范圍:特徵碼中必需有可以替換的匯編指令.比如JN,JNE 換成JMP等.如果和我一樣對匯編不懂的可以去查查8080匯編手冊.
[方法四:指令順序調換法]
1.修改方法:把具有特徵碼的代碼順序互換一下.
2.適用范圍:具有一定的局限性,代碼互換後要不能影響程序的正常執行
[方法五:通用跳轉法]
1.修改方法:把特徵碼移到零區域(指代碼的空隙處),然後一個JMP又跳回來執行.
2.適用范圍:沒有什麼條件,是通用的改法,強烈建議大家要掌握這種改法.
木馬免殺的綜合修改方法
文件免殺方法:1.加冷門殼 2.加花指令 3.改程序入口點 4.改木馬文件特徵碼的5種常用方法
5.還有其它的幾種免殺修改技巧
【七.內存免殺方法:】
修改內存特徵碼:
方法1>直接修改特徵碼的十六進製法
方法2>修改字元串大小寫法
方法3>等價替換法
方法4>指令順序調換法
方法5>通用跳轉法
殼入口修改法
1.用到工具:壓縮殼 OD
2.特點:操作簡單 免殺效果好
3.操作步驟:首先給木馬加壓縮殼 然後用OD載入,在入口處的前15句中NOP掉某些代碼或者等價代換某些代碼
【八.輸入表免殺方法:】
[一,移位法]
1 首先用lordpe打開,目錄,導入表找到你要改的函數。比如說CommandLineA
2 記下未改前函數的thunkvalue 舉例:00062922
3 將要修改的文件用winhex等16進制形式打開,然後找到該函數的地址,比如說00062988
4 將該函數用00填充,移動到新地址如00070000
5 保存
6 將保存後的文件用lordpe打開,打開計算器,選擇16進制,00062988-00062922+00070000,計算結果修改為新的thunkvalue。保存
註:公式-> 內存地址=RAV+RAV基址 ,RAV基地址可以在LORDPE中看到.輸入表函數名前有兩個空格所以RAV的地址要減去2
[二,修改字元法]
今天定位Drat2.9卡巴特徵碼,是在輸入表上!(這時句廢話,現在卡巴基本都殺輸入表)
[特徵] 00025175_00000001 ZwUnmapViewOfSection 他的特徵碼位置是函數後面的那個00
(這個函數我在開始移動過位置,原始DAT文件的特徵碼是0002516A_00000001,同樣是函數後面的那個00)
我開始是選擇C32移動位置,LordPE修改輸入表,但是不行,後來試過OD指針移位,還是不行!CALL改JMP都不行
我發現LordPE可以修改函數名稱!便用C32將ZwUnmapViewOfSection函數後面加了個字元b(你可以隨意加字元)
由於LordPE讀取輸入表函數是從ThunkValue開始,一直到這個連續的字元串後的00處!
由於在ZwUnmapViewOfSection函數後加了個字元b,現在LordPE讀取的此處函數為ZwUnmapViewOfSectionb
此時將ZwUnmapViewOfSectionb函數後面的那個b刪除!保存下文件,這時就免殺了!
這樣一修改,在文件00025175處的16進制代碼不是00,而是62,所以卡巴就過了,而用lardPE修改後函數後,文件的輸入表的函數還是ZwUnmapViewOfSection,生成服務端可以運行!
【免殺經驗:】
1.加區,加花後,再加密,可以比較容易過卡巴----如加密工具vmprotect
脫殼過的木馬---加花指令,或加區加花---加密---加壓縮殼---再加區加花指令
2.單單加免殺花指令已經不能過卡巴,一定要配合加花後在加壓縮殼,才能起到免殺卡巴的效果.
vmprotect加密----再加花-----可過卡巴:
3.加雙層花指令免殺法----免卡巴
4.加密---007內存免----加壓 ---免卡巴或內存.
5.雙層加密(maskpE)---加壓 ----可過卡巴.
6.maskpe加密---asppack加殼 ---改入口點加1---可過卡巴
7.加密maskpe----加花或加區加花(用工具)-----加壓縮殼---免卡巴
8.北斗對黑防鴿子可加壓二次,再壓其它壓縮殼.以達免殺.
9.加過北斗殼,向上拉滾開滑鼠50多次,有一段空代碼,可以加花,轉移.
10.去頭轉移入口點---加花----加密(vmprotect) ----加壓縮==過所有殺毒
11.對付卡巴,加免殺花指令.花指令對瑞星表面查殺一般無效,一般加壓縮殼.
12.對付瑞星表面: 有些黑軟,加區,加花後被瑞星表面殺,可以這樣:先加壓過瑞星表面,然後加免殺花指令,過卡巴.
13.過瑞星表面的查殺方法: 1.加北斗內存免殺壓縮殼 2.加過瑞星表面的專用加密工具. 3.用maskPE加密工具加密 源碼免殺,要求樓主必須會編程語言,如C語言,E語言等。可以載入IDA中調試,通過修改源碼語句。