免杀常用的一些手法
首先做免杀大家都知道免杀分为文件免杀,内存免杀,和行为免杀。
/通用转跳发:就是把特征码跳转到0区域,运行完后在跳回原地继续运行。
|
| /上移法:根据代码的特点把特征码向上移动.\
|特征码移动法: |有时候是整个区段上移以后介绍
| \下移法:根据代码的特点把特征码向下移动./
|
|PE资源移动:把特征区段上下移动,在C32下在修正.(无名哥哥教的)终于会了!不容易啊!!
|
/修改特征码免杀|区段加密法:用vmprotect类的加密工具把特征代码处加密。
| |
| |大小写替换法:在C32下发现特征码为字符串,可修改大小写达到免杀。
| |
| |PE头修改法:在C32下把PE头上移在修正头PE大小。(通常用在最后有反调
| |试作用)
| |
| |出入表处修改:有些字符串在入表处我们无法用大小写替换法修改,用C32
文件免杀| |把入表处特征000掉然后在LordPE中修正。(同免杀内存)
| |
| |等量替换法:把指令换为一些相似指令,或把16进制的数字改为大1或小1
| \的数字。
|
|加壳免杀:就是加一些生僻的壳,多重加壳。
|
|
|技巧免杀:加UXP壳在用秘密行动大乱UXP头,入口加一.........
|
|
|改壳:修改壳的特征码。方法同文件免杀。
|
\加花免杀:自己学会写一些花,司机大叔的数学不好,加花对卡巴最有效。
/通用转跳发:就是把特征码跳转到0区域,运行完后在跳回原地继续运行。
|
|大小写替换发:大小写替换法:在C32下发现特征码为字符串,可修改大小写达到免杀。
|
/修改特征码免杀| /把出如表参数移动到0区域在用lord pe修正 或上下移动在修正.
| \出入表修改|
| \ 把出如表参数上移一位在用lord pe修正(男人哥哥教的)或上下移动在修正.
内存免杀|
|
|
\工具修改:用007免疫类的工具反瑞星内存扫描。或加密保护.
技巧和总结
在一般情况下我建议大家修改特征码,但是修改特征码是一种针对性很强的方法,免杀后能被别的杀毒软件杀出,所以我建议免杀后要加入自己的花指令,和加壳来保护我们的成果.还有就是要研究新的方法,不要固守陈规.黑客的精神就是创新和务实,方法好麻烦也白搭!! 广告说的好别看广告看疗效!
