怎么学习免杀? 学习免杀,从学什么开始!
2、手工免杀:指在仅有病毒、木马的可执行文件(PE文件)的情况下进行免杀。 [编辑本段]五、怎样了解、学习免杀 目前国内有关于介绍黑客免杀技术的书籍共有两本《黑客免杀入门》与《精通黑客免杀》。
《黑客免杀入门》为近期出版,但其介绍的内容更加详细,内容讲解更为透彻,更有深度。
《精通黑客免杀》较早出版,因而有关于免杀技术的介绍不是很详细,但其附带的光盘中附带了几百兆的操作录像,是不可多得的宝贵资源。 [编辑本段]六、免杀技术概览 手工免杀分类:
1.文件免杀和查杀:不运行程序用杀毒软件进行对该程序的扫描,所得结果。
2.内存的免杀和查杀:判断的方法1>运行后,用杀毒软件的内存查杀功能.
2>用OD载入,用杀毒软件的内存查杀功能.
什么叫特征码:
1.含意:能识别一个程序是一个病毒的一段不大于64字节的特征串.
2.为了减少误报率,一般杀毒软件会提取多段特征串,这时,我们往往改一处就可达到
免杀效果,当然有些杀毒软件要同时改几处才能免杀.(这些方法以后详细介绍)
3.下面用一个示意图来具体来了解一下特征码的具体概念
特征码的定位与原理:
1.特征码的查找方法:文件中的特征码被我们填入的数据(比如0)替换了,那杀毒软
件就不会报警,以此确定特征码的位置
2.特征码定位器的工作原理:原文件中部分字节替换为0,然后生成新文件,再根据杀
毒软件来检测这些文件的结果判断特征码的位置
认识特征码定位与修改的工具:
1.CCL(特征码定位器)
2.OllyDbg (特征码的修改)
3.OC(用于计算从文件地址到内存地址的小工具)
4.UltaEdit-32(十六进制编辑器,用于特征码的手工准确定位或修改)
特征码修改方法:
特征码修改包括文件特征码修改和内存特征码修改,因为这二种特征码的修改方法
是通用的。所以就对目前流行的特征码修改方法作个总节。
方法一:直接修改特征码的十六进制法
1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.
2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下能
否正常使用.
方法二:修改字符串大小写法
1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.
2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.
方法三:等价替换法
1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.
2.适用范围:特征码中必需有可以替换的汇编指令.比如JN,JNE 换成JMP等.
如果和我一样对汇编不懂的可以去查查8080汇编手册.
方法四:指令顺序调换法
1.修改方法:把具有特征码的代码顺序互换一下.
2.适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行
方法五:通用跳转法
1.修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.
2.适用范围:没有什么条件,是通用的改法,强烈建议大家要掌握这种改法.
木马免杀的综合修改方法:
文件免杀方法:
1.加冷门壳
举例来说,如果说程序是一张烙饼,那壳就是包装袋,可以让你发现不了包装袋里的东西是什么。比较常见的壳一般容易被杀毒软件识别,所以加壳有时候会使用到生僻壳,就是不常用的壳。现在去买口香糖你会发现至少有两层包装,所以壳也可以加多重壳,让杀毒软件看不懂。如果你看到一个袋子上面写着干燥剂、有毒之类的字你也许就不会对他感兴趣了吧,这就是伪装壳,把一种壳伪装成其他壳,干扰杀毒软件正常的检测。
2.加花指令
加花是病毒免杀常用的手段,加花的原理就是通过添加加花指令(一些垃圾指令,类型加1减1之类的无用语句)让杀毒软件检测不到特征码,干扰杀毒软件正常的检测。加花以后,一些杀毒软件就检测不出来了,但是有些比较强的杀毒软件,像江民杀毒软件,病毒还是会被杀的。这可以算是“免杀”技术中最初级的阶段。
3.改程序入口点
4.改木马文件特征码的5种常用方法(参见“修改内存特征码”)
5.还有其它的几种免杀修改技巧
修改内存特征码:
1.直接修改特征码的十六进制法
2.修改字符串大小写法
3.等价替换法
4.指令顺序调换法
5.通用跳转法
http://www.cnhacker.com/ 这有
怎么学习免杀技术?~
简单,睡一觉就好了
习免杀第一课。
一.汇编在免杀中的应用
汇编知识掌握的越好,你的免杀水平越高.
要学会自己写花指令,只要懂基本汇编指令就可学会.
二.汇编学习资料介绍:
学写花指令建议看:
1.8088 汇编速查手册
2.汇编指令查询器
3.免杀汇编基础-8086汇编指令
进一步深入学习汇编知识建议看:
1.汇编指令学习电子书(基础)
2.汇编破解必备基础知识(基础)
3.王爽出的8086汇编语言(在此在说明下此书,此书讲的知识非常不会错,这本书其实就是讲了一些思想,他不会讲指令怎么使用的,是用到什么讲什么,所以我才说这本书不错,如果大家对汇编语言有兴趣可以看看)。
三.写花指令必备的汇编指令总结:
1.寄存器介绍:
(1).数据寄存器: 存放数据
这些是32位汇编的指令(EAX、EBX、ECX、EDX)等等....
这些是16位汇编的指令(AX,BX,CX,DX)等......
大家看下有什么区别,是不是32位汇编指令前面多写了字母E。
现在大部分都是32位CPU或者64位所以在这里只讲32位汇编指令
想学16位的可以参考王爽出的书
在这里我只是简单说下想详细知道是怎么个意思去看IBM汇编语言程序设计第5版。
(2).指针寄存器: 主要用途就是在存储器寻址时,提供偏移地址.
ESP、EBP、EDI、ESI
ESP(堆栈指针寄存):是以“后进先出”方式工作的一个存储区,它必须存在于堆栈段中.
EBP(基址指针寄存器):
ESI(源变址寄存器):
EDI(目的变址寄存器):
2.数据传输指令:
MOV-------传送字或字节
PUSH------把字压入堆栈
POP-------把字弹出堆栈
PUSHA-----把AX,CX,DX,BX,SP,BP,SI,DI依次压入堆栈.
POPA------把DI,SI,BP,SP,BX,DX,CX,AX依次弹出堆栈.
PUSHAD----把EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI依次压入堆栈.
POPAD-----把EDI,ESI,EBP,ESP,EBX,EDX,ECX,EAX依次弹出堆栈.
3.算术运算指令:
ADD-------加法.
SUB-------减法.
INC-------加 1
DEC-------减 1
MUL-------无符号乘法
DIV--------无符号除法
4.逻辑运算指令
AND------与运算
OR-------或运算
XOR------异或运算
NOT------取反
5.无条件转移指令
JMP--------无条件转移指令
CALL-------过程调用
RET/RETF----过程返回
6.条件转移指令
jE--------等于转移
jNE-------不等于时转移
JZ---------等于转移
JNZ--------不等于时转移
JB---------小于转移
JNB--------大于或等于转移
JA---------不小于或不等于时转移
JNA--------小于或等于转移
JG--------大于转移
JNG-------小于或等于转移
JC-------有进位时转移
JNC------无进位时转移
JP------奇偶性为偶数时转移
JNP-----奇偶性为奇数时转移
7.其它
nop-----在汇编中代表空指令,不执行任何代码.
Mov edi,edi-----效果与nop一样.
四.分析一段花指令:
push ebp
pop ebp
nop
push -7
push 7
add ebx,1
sub ebx,1
PUSH 原程序入口地址 JE 原入口点
RETN JNE 原入口点
下面我们这段花指令给大家演示下。
收先说下要想写自己的花指令
收先必须给学会汇编指令集
会了指令才能写花指令
花指令其实就是一些废话
写到作后怎么运行他最后都是0
就看上面那段
怎么运行他最后都是等于0
然后在条到入口点执行程序
好了不多说了
今天我们拿黑防鸽子给大家演示
好了 现在看我操作
我们先打开OD
载入我们刚生成的鸽子马
在这里我已经生成好了
看我操作
先记下原入口点: 在这里我已经提前能好了
原入口点:004A1E48 > 55 push ebp
新入口点:00481DA0 0000 add byte ptr ds:[eax],al
在这里说明下找新入口点最好不要去下面找下面的估计写了花指令都不能保存,所以最好去上面找。
其实都靠大家实验,多做几次就知道了。
好继续
现在开始写花指令
看我操作
写完花指令保存
然后在使LordPE修改原入口点
把新入口点填进去只改后面5位就可以 是81DA0 前面004是基地址不需要改
菜鸟如何学习免杀?
答:我现在很郁闷别人说想要想学会免杀,必须懂得编写然后我就查了编写一类的资料,然后别人又说想要学会编写首先要从C语言开始,然后我又查了C语言一类的资料,但是我在学习C语言的当中发... 我现在很郁闷别人说想要想学会免杀,必须懂得编写然后我就查了编写一类的资料,然后别人又说想要学会编写首先要从C语言开始,然后我...
远控,免杀,溢出,入侵 这些难学吗?
答:远控很简单,主要是软件应用方面,只要掌握方法就行,不用了解原理。。免杀得要一定的汇编语言的知识,还有相应软件的应用,比如:OD,c32等等。。溢出就难了,主要是编程方面,调试,这个需要很深厚的C++语言的知识,编写shell code很花时间。。。入侵范围很大,具体而定,运气好的5分钟,有的几个月,...
免杀好学吗?需要多长时间可以学会?
答:这时你不仅仅只是改文件了 而是要分析逆向木马的汇编源代码 然后自己写新代码代替原代码 这个就比较难的说 掌握了这么多基本可以通杀了 就算不加壳 本人对加壳免杀什么的不敢兴趣 没什么技术含量 并且现在很多壳都会被杀 没什么大用!时间根据你的学习勤奋程度而定 我搞了5年黑了~...
怎么搞免杀木马
答:免杀分为2种 需要一些基础的汇编知识 ((1、主动免杀 1.修改字符特征:2.修改输入表:查找此文件的输入表函数名,并将其移位。3.利用跳转打乱文件原有结构。4.修改入口点:将文件的入口点加1。5.修改PE段:将PE段移动到空白位置 ((2、被动免杀 1.修改特征码:用一些工具找出特征码并针对特征码做...
谁教教我免杀啊 高手 教教我免杀吧
答:不是有教程的吗?可以照着教程上面做啊。不懂的再来问
学习免杀需要学习c语言到什么程度?
答:我和你一样,也是正在学编程的,首先得先把C基础学会,我现在也正在学C,看视频学的,我现在看的是夏老师的,感觉还行,最吸引我的的地方就是讲的一听就能听懂,而且不繁琐啰嗦,简明清晰,都是重点。之前看过郝斌金文什么的,康辉的也看了一点,感觉都讲的太高深了,而且听不出哪些是重点,有用...
想学习免杀谁能介绍几本书呢!!想自学
答:所谓免杀,就是全新特征的代码,只要是全新的,任何杀毒软件病毒库里,没有这种特征码,也就免杀了。
用软件做免杀改特征码的方法
答:下面,我们开始学习输入表函数(APIName)免杀!2.)修改输入表不知有的朋友是否知道,PE文件的正常运行是离不开其内部输入表函数的,而不同的程序,其内部输入表函数的名称与在文件中的位置是不一样的,所以输入表函数也成了病毒防御工作者制作特征码紧盯的地方之一。在我查出来的关于灰鸽子的特征码来看,“瑞星大哥”...
学免杀先要了解哪些编程知识?
答:楼主别看那些发广告的。。免杀就是要汇编语言的。如果是源码免杀就要看木马是那种编程写的了。c++的木马,你用delphi的知识肯定不行啊。我是学了2个月汇编的哦,现在看到特征码都是自己改,改壳也能改。。
学习远程,给免杀,学会一般要多久?
答:学免杀看是怎么学了,免杀很简单,源码免杀,无特征免杀,特征码免杀,很简单,不过现在最好是源码免杀,都学好的话需要点时间,源码免杀要求掌握一门高级语言和简单的汇编,无特征掌握汇编,特征码也是一样的,都需要点时间,如果要是学生的话不建议现在玩这个,前车之鉴 ...
