浅谈免杀经验技巧

浅谈免杀经验技巧（通用7篇）由网友“baidashop2013”投稿提供，下面是小编为大家整理后的浅谈免杀经验技巧，供大家参考借鉴，希望可以帮助到有需要的朋友。

篇1：浅谈免杀经验技巧

今天给大家谈一下免杀的小技巧，技术不大，全是经验。希望大家看完后有所收获。

1：

004B3920: 64:8910      MOV FS:[EAX],EDX

004B3923: 68 35454B00    PUSH 4B4535 -------------替换处（2）

004B3928: E8 83D3FFFF    CALL 004B0CB0

004B392D: C3      RETN

004B392E: E9 E9FDF4FF    JMP 0040371C

004B3933: EB F3      JMP SHORT 004B3928

004B3935: 33C0      XOR EAX,EAX

004B3937: 5A      POP EDX

004B3938: 59      POP ECX

004B3939: 59      POP ECX

004B393A: 64:8910      MOV FS:[EAX],EDX

004B393D: 68 5D454B00    PUSH 4B455D -------------假设特征码处（1）

004B3942: 8D85 64FDFFFF    LEA EAX,SS:[EBP-29C]

004B3948: E8 4F04F5FF    CALL 00403D9C

004B394D: 8D45 FC      LEA EAX,SS:[EBP-4]

004B3950: E8 4704F5FF    CALL 00403D9C

004B3955: C3      RETN

假设特征码处（1），大家看下是不是觉得很难改，改了有些可能出错，跳转一般都不行，

我们可以试一下和（2）处交换下。看是不是是能免杀上线。如何可以吧。因为他们都是压入堆栈，我们只是换了个地址而已。

2：

004B3920: 64:8910      MOV FS:[EAX],EDX

004B3923: 68 35454B00    PUSH 4B4535

004B3928: E8 83D3FFFF    CALL 004B0CB0  ------假设特征码处（1）

004B392D: C3      RETN

004B392E: E9 E9FDF4FF    JMP 0040371C

004B3933: EB F3      JMP SHORT 004B3928

004B3935: 33C0      XOR EAX,EAX

004B3937: 5A      POP EDX

004B3938: 59      POP ECX

在看这个特征码处 ，假设跳转不行，无法上线。那么我们和下面或上面的代码交换下位置试一试。看下是否上线了，而且功能全齐吧！

还有些比较厉害的杀毒软件把你ccl或myccl生成出的特征码全都给杀了，是吧。你可以试一试加壳，再查。如果你想做无壳的。怎么办？办法还是有。你去头加区。试一试不用新加的哪个区段去CCL或MYCCL去生成特征码试一试。有些可能不行，比如黑防。

在这只是给大家介绍些经验，希望各位多多研究，多想些办法。不要放弃。肯定是有办法的。只要你肯研究我不相信你就免杀不了。

不说了，今天就到这，这只是说说经验，当然上面的方法是我自己想出来的，我不保证100%成功。只想给大家一个启发。

送大家免杀6字真言：不放弃，多研究！

篇2：免杀个人经验

1.比如你定位一个特征码定位到了一个字符串上我们比如这个特征码定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，遇到这个我想大家一定是修改大小写吧，但是有时候修改大小写还是被杀， 这个我们可以怎么办呢，我们可以移动位置，因为这个肯定是一个api函数的参数,我们找到那个函数然后修改下调用地址就行了。 所以有时候大家不能总用通用方法，要学会变通。

2.NOD32的疑问

前天有一个会员来问我他说它定位NOD32，定位到了资源上，这个有一个可能是你的定位有错误。这个你可以通过multiccl把资源和输入表段保护起来，然后定位，看可以定位出其他的特征码不能。

3.花指令

花指令无非是一些干扰程序调试的一些手段，当然也可以作为用来迷惑杀毒软件使杀毒软件找不到我们的特征码,从而达到免杀。

为什么大家总是喜欢用网上的一些什么花指令方法，

其实我发现其实多调用一些子程序，多加一些跳转，要比你们写花指令要好的多。 比如你写一些废话 然后通过call调用,然后在多加几个跳转。我想免杀的时间要比你们在那里对照8080汇编手册写出来的要好的多,免杀就是要靠自己去想。

4.DLL文件免杀出现重定位

大家可以参考黑防9期文章里的那篇文章，这里我不多讲了。。

5.为什我服务端做了免杀,可是生成出来被杀。

这个大家首先可以对比一下有什么不同的地方，这个我给大家一个思路，现在杀毒软件就喜欢定位有标志型意义的地方（通俗点讲版权信息），大家在做的时候因为为了保护我们的木马，所以就委屈下原作者，呵呵。版权信息给改了。 还有一个就是比如说灰鸽子,现在杀软会定位到它的一些dll文件名上,你修改完dll然后找到调用dll文件的函数，然后修改下参数即可。。。。

6.定位技巧

我总是教导大家要学会变通，可是总是没人听。比如你用MYCLL定位特征码为什么总是跟着别人学呢。别人用00填充你就用00填充，有一些杀软有反定位措施的，会判断的， 这里推荐给大家用multiCCL，它这个随机生成数据串填充。或者你在MYCLL定位的时候改一下用60都可以啊。

篇3：简单的过瑞星免杀技巧

做免杀的朋友都非常熟悉瑞星，

定位特征码免杀后很快就不免杀了，

如果说你加壳吧，又没什么壳可以直接过瑞星。

下面我给大家共享下我个人改壳过瑞星的方法了。

推荐加壳工具下载地址：www.heibai.net/download/Class/Class_338_Time_1.htm

方法：

1.先给你的木马加个SimplePack壳

2.OD载入，

3.把第一句改成 NOP ，保存！

4.用你的瑞星杀下。

5.免杀了。

篇4：下木马免杀的个人经验

PE类：EXE. dll

1.脱壳解密

脱壳在木马免杀中由为重要！，。所以希望大家好好学习脱壳

脱壳的好坏直接影响到木马免杀效果（如果不完全脱壳，在<定位内存特征码>可能会使定位中没发现特征码但是运行中又发现木马。）

2.定位特征码

一般从大范围定位后逐渐缩小范围（字节型）

（个数型）一般从生成100个数的大致定位特征码后转入字节型定位。

单一文件特征码定位：CLL MYCLL multiCCL

复合文件特征码定位：MYCLL multiCCL

内存特征码定位： OD（一半一半定位） MYCLL multiCCL   [一般都要确定你的文件是否完美完全脱壳后在进行文件特征码定位]

3.特征码修改

简单的等效代码转换如下：（不过有时改后也损坏文件所以看情况）

push 变 pop

je  变 jnz

add 变 sub

add ecx,2 可以改为 sub ecx,-2

加ecx内存器＋2     减ecx内存器-2 - -2得＝2

上面的等效代码用不了还是乖乖用，JMP跳转法把特征码转移

4.附加数据加密算法变形

这个方法已经被pcshare冰雨发布了，就是pcshare附加数据的配置信息是xor 加密的。被杀毒定义了 所以我们只要改算法 xor 值 变一下就可以了！

5.RAR自解压（加密）

说白就是捆绑而已呵呵，不过去除右键 对部分杀毒有效无法分离出木马！可以躲避查杀 而且可变性比较强所以还有用武之地！

*******************************************************

网页木马类： JS html htm asp 等

1.拆分变量，

用&连接符号，拆分变量

2.加入垃圾代码。

和PE免杀花指令差不多，一些无用的垃圾变量或者空格一些特殊字符 或者GIF98 类似的文件头来做“花指令”呵呵！

3.等值代码修改

把html全部改htm 效果一样

4.代码添零

在记事本中加入空格，然后用16进制的编辑器（Uedit32）打开把 空格对应（20）替换成（00） 即可

该方法运用广泛。使用简单！！推荐 呵呵

5.编码加密(工具见附件)

6.使用变量（赋值语句）

变量名 = 函数或者语句

然后用的时候直接写变量名

7.字符反置（StrReverse反转函数）

使用函数StrReverse，asp和js里面都有这个函数，针对一些字符串做免杀很好！

使用：StrReverse('哦的示演')， 输出结果就是“演示的哦” 也就是字符位置倒排了。做ASP免杀和HTML网马效果应该很不错。

（这类应用需要琢磨一下，比较容易出错特别是对 语言不熟悉的 建议看些书或者相关知识在弄）

篇5：过主动防御的免杀经验

我们做木马免杀主要是针对杀毒的特征进行免杀，

所以市面上也出了一些针对特定杀毒软件的加壳软件等等。

为什么木马免杀会成为一门课程。因为难就难在特征码的修改。也就是汇编代码的修改。以及免杀汇编的编写。

当然，对于免杀我们还是要求巧。何为巧。就是针对杀毒的特征进行特征性的免杀。经过我的免杀总结，我总结了如下的免杀经验告诉大家如何过一些杀毒的主动防御。当然，这只是过主动防御，主动防御过了，还有文件免杀，以及内存免杀。请大家注意。

下面提到的过主动防御的杀毒有。瑞星，360，卡巴，NOD。

我公布几个最新的过杀毒主动防御的方法。

1、瑞星(下载地址：www.heibai.net/download/Soft/Soft_20635.htm）

程序运行后，立刻修改掉程序名字即可过主动

2、360杀毒

想过保护，把程序名字改成一些特定的，就可以过了 360也不报

比如说，你想安装个自动启动的服务，一般360都会报， 只要那服务的名字是一些特定的名字，就不报了，

3、卡巴（下载地址：www.heibai.net/download/Soft/Soft_20527.htm）

把程序改成中文名字就过了……

4、NOD

把小马释放到C:\Windows\System32\svchost1.exe

然后把原本的svchost.exe改个名字，把小马改成svchost.exe

运行

然后恢复名字

这个方法还可以过某些防火墙，比如金山网彪

对于编程人员来说。过主动。也简单的。

例如：如果发现要写入C:\Windows\System32\ 会报警

那就不要用复制API，直接用写入文件，就不报了。

篇6：介绍不是很常见的免杀技巧

免杀有很多方法，但下面这个你不一定知道，

介绍一种新的免杀方法！今天定位一个远控过BitDefender的特征码！！！地址00496034！！！！我们看看具体代码！！

0049602D: 75 F9 JNZ SHORT 00496028

0049602F: 51 PUSH ECX

00496030: 53 PUSH EBX

00496031: 56 PUSH ESI

00496032: 57 PUSH EDI

00496033: 8945 FC MOV [EBP-4],EAX （特征码在这里）

00496036: 33C0 XOR EAX,EAX

00496038: 55 PUSH EBP

00496039: 68 22724900 PUSH 497222

0049603E: 64:FF30 PUSH DWORD PTR FS:[EAX]

按照我们以前的修改方法 无非就是 mov [ebp-4],eax 和xor eax,eax调换位置 或者 push 上面4组指令 再来就是最顶部jnz指令改为相近指令！或者直接来个乾坤大挪移? 对于这处特征码 Bitdefender真的不愧为世界第一杀毒 之前老觉得小红伞BT 没想到这个更BT 定位在代码段也那么厉害 这些方法全用上了 依然无效 而且上面所用的方法 根本不能修改此处 任何一点稍微动一下 程序直接不能运行！

我们仔细看看这段代码，

。。顶部的JNZ 我们不去管他 即使能修改 恐怕也达不到免杀目的。再下来 4条PUSH指令 我们知道PUSH再汇编中是进栈指令，最理想的方法就是对调PUSH来达到免杀目的，那是上面说个这个方法无效。所以即使你把PUSH换成POP 同样不行！接下来我们看看这句，MOV [EBP-4],EAX 这里不难理解 MOV 在汇编中是传送指令 上面这句我们理解为 把EBP-4的值 赋予EAX

，下来一句 XOR EAX,EAX 异或运算 这句话的意思就是 把EAX的值归0

这里不是有矛盾吗？ 上下两句的意思就是赋予EAX 为0 这里我就想到了一个新的免杀技巧 我们NOP掉 MOV [EBP-4],EAX XOR EAX,EAX 这两句 重新写上mov eax,0 保存后 程序运行正常 ，免杀成功！！！！！这里只是给大家一个思路 我不能保证这样的修改方法 是否完全不影响程序 但是大家在免杀的时候 如果遇到同样的难题的时候 不妨多一种方法而已！！！

篇7： 常用的各种免杀技术

一、要使一个木马免杀

首先要准备一个不加壳的木马，这点非常重要，否则 免杀操作就不能进行下去，

常用的各种免杀技术归纳

。 然后我们要木马的内存免杀，从上面分析可以看出，目前的内存查杀，只有瑞星最强，其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀，要进行内存特征码的定位和修改，才能内存免杀。

二、对符其它的杀毒软件

比如江民，金山，诺顿，卡巴。我们可以采用下面的方法，或这些方面的组合使用。

1>.入口点加1免杀法。

2>.变化入口地址免杀法

3>.加花指令法免杀法

4>.加壳或加伪装壳免杀法。

5>.打乱壳的头文件免杀法。

6>.修改文件特征码免杀法。

三、免杀技术实例演示部分

1、入口点加1免杀法：

1)用到工具：PEditor

2)特点：非常简单实用，但有时还会被卡巴查杀。

3)操作要点：用PEditor打开无壳木马程序，把原入口点加1即可。

2、变化入口地址免杀法：

1)用到工具：OllyDbg，PEditor

2)特点：操作也比较容易，而且免杀效果比入口点加1点要佳。

3)操作要点：用OD载入无壳的木马程序，把入口点的前二句移到零区域去执行，然后又跳回到入口点的下面第三句继续执行。最后用PEditorr把入口点改成零区域的地址。

3、加花指令法免杀法：

1)用到工具：OllyDbg，PEditor

2)特点：免杀通用性非常好，加了花指令后，就基本达到大量杀毒软件的免杀。

3)操作要点：用OD打开无壳的木马程序，找到零区域，把我们准备好的花指令填进去填好后又跳回到入口点，保存好后，再用PEditor把入口点改成零区域处填入花指令的着地址。

4、加壳或加伪装壳免杀法：

1)用到工具：一些冷门壳，或加伪装壳的工具，比如木马彩衣等。

2)特点：操作简单化，但免杀的时间不长，可能很快被杀，也很难躲过卡巴的追杀。

3)操作要点：为了达到更好的免杀效果可采用多重加壳，或加了壳后在加伪装壳的免杀效果更佳。

5、打乱壳的头文件或壳中加花免杀法：

1)用到工具：秘密行动 ，UPX加壳工具，

2)特点：操作也是傻瓜化，免杀效果也正当不错，特别对卡巴的免杀效果非常好。

3)操作要点：首先一定要把没加过壳的木马程序用UPX加层壳，然后用秘密行动这款工具中的SCramble功能进行把UPX壳的头文件打乱，从而达到免杀效果。

6、修改文件特征码免杀法：

1)用到工具：特征码定位器，OllyDbg

2)特点：操作较复杂，要定位修改一系列过程，而且只针对每种杀毒软件的免杀，要达到多种杀毒软件的免杀，必需修改各种杀毒软件的特征码。但免杀效果好。

3)操作要点：对某种杀毒软件的特征码的定位到修改一系列慢长过程。

四、快速定位与修改瑞星内存特征码

1、瑞星内存特征码特点：由于技术原因，目前瑞星的内存特征码在90%以上把字符串作为病毒特征码，这样对我们的定位和修改带来了方便。

2、定位与修改要点：

1)首先用特征码定位器大致定位出瑞星内存特征码位置

2)然后用UE打开，找到这个大致位置，看看，哪些方面对应的是字符串，用0替换后再用内存查杀进行查杀。直到找到内存特征码后，只要把字符串的大小写互换就能达到内存免杀效果。

五、木马免杀综合方案

修改内存特征码――>1)入口点加1免杀法――>1>加压缩壳――>1>再加壳或多重加壳

2)变化入口地址免杀法 2>加成僻壳 2>加壳的伪装。

3)加花指令法免杀法 3>打乱壳的头文件

4)修改文件特征码免杀法

注：这个方案可以任意组合各种不同的免杀方案。并达到各种不同的免杀效果。

六、免杀方案实例演示部分

1、完全免杀方案一：

内存特征码修改 + 加UPX壳 + 秘密行动工具打乱UPX壳的头文件。

2、完全免杀方案二：

内存特征码修改 + 加压缩壳 + 加壳的伪装 )

3、完全免杀方案三：

GD内存特征码修改 + 修改各种杀毒软件的文件特征码 + 加压缩壳

4、完全免杀方案四：

内存特征码修改 + 加花指令 + 加压壳

5、完全变态免杀方案五：

内存特征码修改 + 加花指令 + 入口点加1 + 加压缩壳UPX + 打乱壳的头文件

还有其它免杀方案可根据第五部分任意组合

★ 免杀的一些观点

★ 温带大陆性气候的特征及介绍

★ 计算机病毒实验报告

★ 死循环。作文600字

★ 后门750字作文

★ 如何入侵XP（xp入侵教程）

★ linux当mysql以root权限登录时提权网站安全

★ 局域网互访总结

★ 拒绝盲目从众作文

★ 教你如何用非主流方式抓鸡（图）

《浅谈免杀经验技巧.doc》

将本文的Word文档下载到电脑，方便收藏和打印

推荐度：

点击下载文档

【浅谈免杀经验技巧（通用7篇）】相关文章：

3389新思路 SQL渗透的一些技术2022-09-09

病毒的同义词有哪些2023-01-22

连载：国外高手谈卡巴斯基存隐患（一）病毒防范2023-05-14

科讯CMS V7.0 安全设置说明详解2023-08-19

讲家史传家风征文600字2022-08-14

描写初中生三国演义读后感2023-03-03

教你做服务级的木马后门2023-07-09

病毒的说课稿2022-05-12

病毒的作文精选2022-11-25

求职信病毒2023-09-19