您的位置:360文档中心› 木马免杀基础知识

木马免杀基础知识

想成为一个比较优秀的黑客!我们就得掌握很多方面的技术,那当然其中有一项就是免杀技术!免杀技术在重多技术中算是最简单的,但也是最基础的。对于新手来说,做一个免杀的木马还是比较棘手的!就因为这个原因,所以最近网上出现了很多卖免杀服务的人。大概1个免杀木马能卖几十元到200元之间吧!那真的有必要花这些冤枉钱吗?那么当然是没必要咯!在这里我送给大家一句话:自己动手丰衣足食!所以我决定做一套完整的免杀教程,让所有新手都学会做免杀!这只是第一节课,后面还有很多内容。所以没办法一次性做完。这节课的主要目的是让大家了解一下免杀技术的一些概念!

如果已经会做免杀或者觉的这些内容不重要的朋友,那你们可以跳过这部分内容,因为下节课才是正式开始教大家从零开始学做免杀。

那么首先我们来了解一下什么才算是是完全免杀!那么大体上可以分为两个方面:
一:文件免杀
二:内存免杀
这里只要象征性的性的了解一下就行!没什么好讲的!

现在来介绍一下目前流行的几种免杀方法!

常用免杀方法:
1.特征码定位
(主要是用CCL和MYCCL等工具定位出杀毒软件的特征码,然后对相应的特征码做适当的修改,从而实现免杀)优点:效果好。 缺点:费时间。

2.大小写替换(大小写转换)

3.指令顺序调换(把两个指令换个位子咯,当然不是随便让你换咯)

4.16进制数值加1(这个方法不是很通用)

5.JMP跳转(这个可以说是很实用的,通用性强简单,操作)

6.改程序入口点(这个超简单)

7.加花指令(这个也很简单,用一些加花工具就能办到,但这里主要涉及手工加花)

8.指令等效替换(这个需要一点汇编基础,新手请勿模仿!)

9.加密(这个简单的不行了。这里主要涉及VM加密和其他软件加密)

10.加壳(这个大家应该都会)

11.入口点加1(这个不说了,傻B都会哦)

12.垃圾代码清0(这个要一点汇编基础,能看懂哪些代码是没用的就行!)

13.这里省略!因为太多了~~

 这些是比较普通的免杀方法,那么当然有很多变态免杀方法了。我们得先把这几种普通的免杀方法先掌握,在以后的教程中我会给大家公布一些我自己的免杀方法!

下面这些内容。大家可以象征性的看一看!那么下节课就正是开始教大家做免杀。(课程内容:主要结合一些实例来演示一下目前比较常用的几种免杀方法。)

PE文件结构的总体层次分布如下所示
----------------
|DOS MZ Header |
|--------------|
|DOS Stub |
|--------------|
|PE Header |
|--------------|
|Section Table |
|--------------|
|Sect

ion 1 |
|--------------|
|Section 2 |
|--------------|
|Section ... |
|--------------|
|Section n |
----------------

1.1 DOS Header
PE文件最开始是一个简单的 DOS MZ header,它是一个 IMAGE_DOS_HEADER 结构。有了它,一旦程序在DOS下执行,DOS就能识别出这是有效的执行体,然后运行紧随 MZ Header 之后的 DOS Stub。

1.2 DOS Stub
DOS Stub 是一个有效的 DOS 程序。当程序在DOS下运时,输出象 "This program cannot be run in DOS mode" 这样的提示。在 图1.1中就可以看到字符串 "This program cannot be run in DOS mode"。这是编译器生成的默认stub程序。你也可以通过链接选项 /STUB:filename 指定任何有效的MS-DOS可执行文件来替换它。

1.3 PE Header
紧接着 DOS Stub 的是 PE Header。它是一个 IMAGE_NT_HEADERS 结构。其中包含了很多PE文件被载入内存时需要用到的重要域。执行体在支持PE文件结构的操作系统中执行时,PE装载器将从 DOS MZ header 中找到 PE header 的起始偏移量。因而跳过了 DOS stub 直接定位到真正的文件头 PE header。

1.4 Section Table
PE Header 接下来的数组结构 Section Table (节表)。如果PE文件里有5个节,那么此 Section Table 结构数组内就有5个成员,每个成员包含对应节的属性、文件偏移量、虚拟偏移量等。图1中的节表有4个成员。

1.5 Sections
PE文件的真正内容划分成块,称之为sections(节)。Sections 是以其起始位址来排列,而不是以其字母次序来排列。通过节表提供的信息,我们可以找到这些节。图1.1所示的 explorer.exe 中有4个节。程序的代码,资源等等就放在这些节中

相关主题
相关文档
最新文档