源码免杀工具
⑴ 怎么学习免杀
免杀技术的分类1、开源免杀:指在有病毒、木马源代码的前提下,通过修改源代码进行免杀。
2、手工免杀:指在仅有病毒、木马的可执行文件(PE文件)的情况下进行免杀。 [编辑本段]五、怎样了解、学习免杀目前国内有关于介绍黑客免杀技术的书籍共有两本《黑客免杀入门》与《精通黑客免杀》。
《黑客免杀入门》为近期出版,但其介绍的内容更加详细,内容讲解更为透彻,更有深度。
《精通黑客免杀》较早出版,因而有关于免杀技术的介绍不是很详细,但其附带的光盘中附带了几百兆的操作漏慎录像,是不可多得的宝贵资源。 [编辑本段]六、免杀技术概览手工免杀分类:
1.文件免杀和查杀:不运行程序用杀毒软件进行对该程序的扫描,所得结果。
2.内存的免杀和查杀:判断的方法1>运行后,用杀毒软件的内存查杀功能.
2>用OD载入,用杀毒软件的内存查杀功能.
什么叫特征码:
1.含意:能识别一个程序是一个病毒的一段不大于64字节的特征串.
2.为了减少误报率,一般杀毒软件会提取多段特征串,这时,我们往往改一处就可达到
免杀效果,当然有些杀毒软件要同时改几处才能免杀.(这些方法以后详细介绍)
3.下面用一个示意图来具体来了解一下特征码的具体概念
特征码的定位与原理:
1.特征码的查找方法:文件中的特征码被我们填入的数据(比如0)替换了,那杀毒软
件就不会报警,以此确定特征码的位置
2.特征码定位器的工作原理:原文件中部分字节替换为0,然后生成新文件,再根据杀
毒软件来检测这些文件的结果判断特征码的位置
认识特征码定位与修改的工具:
1.CCL(特征码定位器)
2.OllyDbg (特征码的修改)
3.OC(用于计算从文件地址到内存地址的小工具)
4.UltaEdit-32(十六进制编租租辑器,用于特征码的手工准确定位或修改)
特征码修改方法:
特征码修改包括文件特征码修改和内存特征码修改,因为这二种特征码的修改方法
是通用的。所以就对目前流行的特征码修改方法作个总节。
方法一:直接修改特征码的十六进制法
1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.
2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下能
否正常使用.
方法二:修改字符串大小写法
1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.
2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.
方法三:等价替换法
1.修改方法:把特征码所对应的返型敬汇编指令命令中替换成功能类拟的指令.
2.适用范围:特征码中必需有可以替换的汇编指令.比如JN,JNE 换成JMP等.
如果和我一样对汇编不懂的可以去查查8080汇编手册.
方法四:指令顺序调换法
1.修改方法:把具有特征码的代码顺序互换一下.
2.适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行
方法五:通用跳转法
1.修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.
2.适用范围:没有什么条件,是通用的改法,强烈建议大家要掌握这种改法.
木马免杀的综合修改方法:
文件免杀方法:
1.加冷门壳
举例来说,如果说程序是一张烙饼,那壳就是包装袋,可以让你发现不了包装袋里的东西是什么。比较常见的壳一般容易被杀毒软件识别,所以加壳有时候会使用到生僻壳,就是不常用的壳。现在去买口香糖你会发现至少有两层包装,所以壳也可以加多重壳,让杀毒软件看不懂。如果你看到一个袋子上面写着干燥剂、有毒之类的字你也许就不会对他感兴趣了吧,这就是伪装壳,把一种壳伪装成其他壳,干扰杀毒软件正常的检测。
2.加花指令
加花是病毒免杀常用的手段,加花的原理就是通过添加加花指令(一些垃圾指令,类型加1减1之类的无用语句)让杀毒软件检测不到特征码,干扰杀毒软件正常的检测。加花以后,一些杀毒软件就检测不出来了,但是有些比较强的杀毒软件,像江民杀毒软件,病毒还是会被杀的。这可以算是“免杀”技术中最初级的阶段。
3.改程序入口点
4.改木马文件特征码的5种常用方法(参见“修改内存特征码”)
5.还有其它的几种免杀修改技巧
修改内存特征码:
1.直接修改特征码的十六进制法
2.修改字符串大小写法
3.等价替换法
4.指令顺序调换法
5.通用跳转法
⑵ DLL360免杀怎么弄
需要用易语言编写dll结合bat运行绕过360免杀。
1、源码定位,首先删减源码,然后编译,如果报毒,继续删减,直到不报毒为止,定位出报毒的子程序。
2、在敏感代码前后,子程序前后,添加大量无意义的不报毒命令。
3、编译后替换资源,建议替换360相关产品(非杀毒卫士)下带证书的资源,最好是dll文件,越大越好。
4、压缩壳或者加密壳,建议upx压缩壳最高压缩。
垃圾代码最好写成那种运算速度快的,否则会对你软件的运行速度造成影响。
⑶ asp大马和小马是什么意思
想ASP大马,一般就是指海洋之类的ASP木马,他们体积较大,但功能也很全。
所谓ASP小马,一般指站长助手、一句话木马等。他们体积很小,一般在拿webshell是都是先上上传站长助手,在通过它上传大马的。这就是杂志上经常提到的“小马传大马”
⑷ ASP小马跟ASP大马是什么意思
希望采纳给个好评(能解决+原创+5星),谢谢~~一功能复杂
一功能简单1、大马太大
2、容易被杀所谓的大马就是webshell俗称后门,只一扇大门,进了门就可以“为所欲为”
而小马只制造这个门所用的工具,小马是一个上传平台,它可以将源代码上传到对方服务器并保存文件,而这个源代码就是大马。
小马是免杀的,而大马有的会被杀掉,通过这个方法还可以起到一点点免杀大马的效果
促进网络安全进步,维护国内网络安全,各位小黑老黑不要做对国内网络破坏的行为。按字面意思都能看出来吖。。 一个文件大 一个文件小点。。 大马直接上传就能拿到WEBSHELL。 而小马只是一个大马上传路径。希望你可以理解,我再不知道怎么解释了
⑸ 怎么做免杀越详细越好
这样一时半会时说不明白的,我炼紧要的说
(以下先介绍反汇编免杀)
第一步:你需要一本面纱的书如非安全出版的《反汇编揭露黑客免杀技巧》。进行基础性了解。
第二步:了解当下杀毒软件的查杀特点,认识云查杀和特征码查杀以及行为综合查杀等。
第三步:了解免杀技术分类:如内部免杀和外部免杀,特征码免杀以及文件免杀等
第四步:搭建调试环境,你需要一个虚拟机来测试你的木马免杀效果。如果你觉得不保险,可以在安 装冰点还原。(我的网站:google:青扬班 第一个即可)
第五步:你需要知道PE结构(这是指文件的一般格式);输入表和输出表;以及什么是程序的壳。
第六步:你需要知道什么是汇编和反汇编(即机器语言和高级语言的区别)知道电脑内存基本的寄存器和内存80386寻址原理。和各种汇编命令如jmp,je,xor等
第七步:开始免杀。认识你自己的免杀工具如OD,OC,C32等
(常见面纱方法有加花免杀,加壳免杀,等价替换指令免杀,跳转面纱,大小写转换免杀,异化算法免杀等等,如果你是玩asp马的,还有脚本免杀)
源码免杀介绍如下:
通过修改源代码即可(很好面纱的)这里不说啦
如果你有什么不明白请google:青扬班
点击第一个网站即可,我们可以交流。
⑹ 免杀的方法
一.入口点加1免杀法:
1.用到工具PEditor
2.特点:非常简单实用,但有时还会被卡巴查杀]
3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可
【二.变化入口地址免杀法:】
1.用到工具:OllyDbg,PEditor
2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳.
3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后
又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址
【三.加花指令法免杀法:】
1.用到工具:OllyDbg,PEditor
2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀.
3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去
填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令的着地址.
【四.加壳或加伪装壳免杀法:】
1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等.
2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀
3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的免杀效果更佳
【五.打乱壳的头文件或壳中加花免杀法:】
1.用到工具:秘密行动 ,UPX加壳工具.
2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好
3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款
工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.
【六.修改文件特征码免杀法:】
1.用到工具:特征码定位器,OllyDbg
2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要达
到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好
[特征码修改方法]
特征码修改包括文件特征码修改和内存特征码修改,因为这二种特征码的修改方
法是通用的。所以就对目前流行的特征码修改方法作个总节。
[方法一:直接修改特征码的十六进制法]
1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.
2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下能否正常使用.
[方法二:修改字符串大小写法]
1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.
2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.
[方法三:等价替换法]
1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.
2.适用范围:特征码中必需有可以替换的汇编指令.比如JN,JNE 换成JMP等.如果和我一样对汇编不懂的可以去查查8080汇编手册.
[方法四:指令顺序调换法]
1.修改方法:把具有特征码的代码顺序互换一下.
2.适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行
[方法五:通用跳转法]
1.修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.
2.适用范围:没有什么条件,是通用的改法,强烈建议大家要掌握这种改法.
木马免杀的综合修改方法
文件免杀方法:1.加冷门壳 2.加花指令 3.改程序入口点 4.改木马文件特征码的5种常用方法
5.还有其它的几种免杀修改技巧
【七.内存免杀方法:】
修改内存特征码:
方法1>直接修改特征码的十六进制法
方法2>修改字符串大小写法
方法3>等价替换法
方法4>指令顺序调换法
方法5>通用跳转法
壳入口修改法
1.用到工具:压缩壳 OD
2.特点:操作简单 免杀效果好
3.操作步骤:首先给木马加压缩壳 然后用OD载入,在入口处的前15句中NOP掉某些代码或者等价代换某些代码
【八.输入表免杀方法:】
[一,移位法]
1 首先用lordpe打开,目录,导入表找到你要改的函数。比如说CommandLineA
2 记下未改前函数的thunkvalue 举例:00062922
3 将要修改的文件用winhex等16进制形式打开,然后找到该函数的地址,比如说00062988
4 将该函数用00填充,移动到新地址如00070000
5 保存
6 将保存后的文件用lordpe打开,打开计算器,选择16进制,00062988-00062922+00070000,计算结果修改为新的thunkvalue。保存
注:公式-> 内存地址=RAV+RAV基址 ,RAV基地址可以在LORDPE中看到.输入表函数名前有两个空格所以RAV的地址要减去2
[二,修改字符法]
今天定位Drat2.9卡巴特征码,是在输入表上!(这时句废话,现在卡巴基本都杀输入表)
[特征] 00025175_00000001 ZwUnmapViewOfSection 他的特征码位置是函数后面的那个00
(这个函数我在开始移动过位置,原始DAT文件的特征码是0002516A_00000001,同样是函数后面的那个00)
我开始是选择C32移动位置,LordPE修改输入表,但是不行,后来试过OD指针移位,还是不行!CALL改JMP都不行
我发现LordPE可以修改函数名称!便用C32将ZwUnmapViewOfSection函数后面加了个字符b(你可以随意加字符)
由于LordPE读取输入表函数是从ThunkValue开始,一直到这个连续的字符串后的00处!
由于在ZwUnmapViewOfSection函数后加了个字符b,现在LordPE读取的此处函数为ZwUnmapViewOfSectionb
此时将ZwUnmapViewOfSectionb函数后面的那个b删除!保存下文件,这时就免杀了!
这样一修改,在文件00025175处的16进制代码不是00,而是62,所以卡巴就过了,而用lardPE修改后函数后,文件的输入表的函数还是ZwUnmapViewOfSection,生成服务端可以运行!
【免杀经验:】
1.加区,加花后,再加密,可以比较容易过卡巴----如加密工具vmprotect
脱壳过的木马---加花指令,或加区加花---加密---加压缩壳---再加区加花指令
2.单单加免杀花指令已经不能过卡巴,一定要配合加花后在加压缩壳,才能起到免杀卡巴的效果.
vmprotect加密----再加花-----可过卡巴:
3.加双层花指令免杀法----免卡巴
4.加密---007内存免----加压 ---免卡巴或内存.
5.双层加密(maskpE)---加压 ----可过卡巴.
6.maskpe加密---asppack加壳 ---改入口点加1---可过卡巴
7.加密maskpe----加花或加区加花(用工具)-----加压缩壳---免卡巴
8.北斗对黑防鸽子可加压二次,再压其它压缩壳.以达免杀.
9.加过北斗壳,向上拉滚开鼠标50多次,有一段空代码,可以加花,转移.
10.去头转移入口点---加花----加密(vmprotect) ----加压缩==过所有杀毒
11.对付卡巴,加免杀花指令.花指令对瑞星表面查杀一般无效,一般加压缩壳.
12.对付瑞星表面: 有些黑软,加区,加花后被瑞星表面杀,可以这样:先加压过瑞星表面,然后加免杀花指令,过卡巴.
13.过瑞星表面的查杀方法: 1.加北斗内存免杀压缩壳 2.加过瑞星表面的专用加密工具. 3.用maskPE加密工具加密 源码免杀,要求楼主必须会编程语言,如C语言,E语言等。可以载入IDA中调试,通过修改源码语句。