傳說中的木馬免殺技術 二

什麼叫免殺和查殺

可分爲二類:

1.文件免殺和查殺:不運行程序用殺毒軟件進行對該程序的掃描，所得結果。

2.內存的免殺和查殺:判斷的方法1>運行後,用殺毒軟件的內存查殺功能.

     2>用OD載入,用殺毒軟件的內存查殺功能.

     什麼叫特徵碼

1.含意:能識別一個程序是一個病毒的一段不大於64字節的特徵串.

2.爲了減少誤報率,一般殺毒軟件會提取多段特徵串,這時,我們往往改一處就可達到

免殺效果,當然有些殺毒軟件要同時改幾處才能免殺.




   特徵碼的定位與原理


1.特徵碼的查找方法:文件中的特徵碼被我們填入的數據（比如0）替換了，那殺毒軟

件就不會報警，以此確定特徵碼的位置


2.特徵碼定位器的工作原理:原文件中部分字節替換爲0，然後生成新文件，再根據殺

毒軟件來檢測這些文件的結果判斷特徵碼的位置



   認識特徵碼定位與修改的工具


1.CCL(特徵碼定位器)

2.OOydbg (特徵碼的修改)

3.OC用於計算從文件地址到內存地址的小工具.

4.UltaEdit-32(十六進制編輯器,用於特徵碼的手工準確定位或修改)


   特徵碼修改方法


特徵碼修改包括文件特徵碼修改和內存特徵碼修改，因爲這二種特徵碼的修改方法

是通用的。所以就對目前流行的特徵碼修改方法作個總節。



方法一:直接修改特徵碼的十六進制法

1.修改方法:把特徵碼所對應的十六進制改成數字差1或差不多的十六進制.


2.適用範圍:一定要精確定位特徵碼所對應的十六進制,修改後一定要測試一下能

否正常使用.


　方法二:修改字符串大小寫法

1.修改方法:把特徵碼所對應的內容是字符串的,只要把大小字互換一下就可以了.


2.適用範圍:特徵碼所對應的內容必需是字符串,否則不能成功.

方法三:等價替換法

1.修改方法:把特徵碼所對應的彙編指令命令中替換成功能類擬的指令.

2.適用範圍:特徵碼中必需有可以替換的彙編指令.比如JN,JNE 換成JMP等.



方法四:指令順序調換法

1.修改方法:把具有特徵碼的代碼順序互換一下.

2.適用範圍:具有一定的侷限性,代碼互換後要不能影響程序的正常執行


　　方法五:通用跳轉法

1.修改方法:把特徵碼移到零區域(指代碼的空隙處),然後一個JMP又跳回來執行.


2.適用範圍:沒有什麼條件,是通用的改法,強烈建議大家要掌握這種改法.



　　　　　　　　　　　木馬免殺的綜合修改方法


　　文件免殺方法：

1.加冷門殼

2.加花指令

3.改程序入口點

4.改木馬文件特徵碼的5種常用方法

5.還有其它的幾種免殺修改技巧



　　內存免殺方法：


修改內存特徵碼：方法有1>直接修改特徵碼的十六進制法

　　　　　　　　方法有2>修改字符串大小寫法

　　　　　　　　方法有3>等價替換法

                            方法有4>指令順序調換法

                            方法有5>通用跳轉法