常用的木馬免殺方法絕招一：快速搞定瑞星文件查殺操作步驟：　第一步：用OD載入，來到程序的入口點?！?...常用的木馬免殺方法
絕招一：快速搞定瑞星文件查殺
操作步驟：
　第一步：用OD載入，來到程序的入口點。
　第二步：把入口點的第一句PUSH　EBP　改成POP　EBP　然后保存就可以躲過瑞
　　　　　星的表面查殺。
　　　　　　　　　絕招二：快速定位與修改瑞星內(nèi)存特征碼
原理：因為目前的內(nèi)存查殺殺毒軟件，只有瑞星才能威脅到我們的木馬。也就是說
只要搞定瑞星的內(nèi)存查殺，那我們的木馬在內(nèi)存就暢通無阻了.
但由于技術原因,目前瑞星的內(nèi)存特征碼在90%以上把字符串作為病毒特征碼,
這樣對我們的定位和修改帶來了方便.
操作步驟:
第一步:首先用特征碼定位器大致定位出瑞星內(nèi)存特征碼位置.
第二步:然后用UE打開,找到這個大致位置,看看,哪些方面對應的是字符串,用0替
換后再用內(nèi)存查殺進行查殺.直到找到內(nèi)存特征碼后,只要把字符串的大
小寫互換就能達到內(nèi)存免殺效果.
絕招三:如何快速躲過諾頓的查殺
諾頓的查殺特點:大家有時候會發(fā)現(xiàn),通過改特征碼,加花指令,改內(nèi)存特征碼,等
等,卡巴,江民,金山,瑞星都過了,但無論如何都過不了諾頓,這時候是不是感到很納
悶.其實諾頓特征碼的定義和其它殺毒軟件不一樣,其它殺毒軟件的特征碼都在代碼
段而只有它把特征碼定義在PE頭文件里面.而在頭文件里面,一般都用字符串作為病
毒特征碼,知道了原理,就有下面的二種方法來應付.
方法一:只要把頭文件的字符串的大小字互換一下就可以搞定了.
方法二:有二款壓縮軟件WinUpack和北斗星,經(jīng)過他們的壓縮,會把我們的木馬程序
的頭文件改的面目全非.所以把我們的木馬做好其它的殺毒軟件的免殺后,
再用這二款壓縮軟件的壓縮就可以躲過諾頓的查殺.
絕招四:一個不太通用的免殺方法
免殺方法一:把入口點第三句開始的幾行(20字節(jié)內(nèi))匯編代碼移到零區(qū)域去執(zhí)行,
也達到一定的免殺效果.
絕招五:用VC++加了花指令后入口點下移法
操作過程:加花指令后,可以把入口點下移好一位,這樣可以進一步達到免殺效果.

版權聲明：本站文章來源標注為YINGSOO的內(nèi)容版權均為本站所有，歡迎引用、轉(zhuǎn)載，請保持原文完整并注明來源及原文鏈接。禁止復制或仿造本網(wǎng)站，禁止在非maisonbaluchon.cn所屬的服務器上建立鏡像，否則將依法追究法律責任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學習參考，不代表本站立場，如有內(nèi)容涉嫌侵權，請聯(lián)系alex-e#qq.com處理。