一招搞定国内所有杀软.docVIP

一招搞定国内所有杀软 　　在红客路线栏目中，各种各样的木马使用、伪装、传播等，都介绍了许多，但是关于木马的免杀，对于菜鸟们来说，还是一个令人头疼的问题。木马如何才能躲过杀毒软件的查杀呢?我1门曾介绍过使用MYCCL定位修改特征码的方法，这种方法百分百有效，但是必须针对不同的杀毒软件进行不同的定位修改，因此非常的麻烦。今天，我们就为大家带来一个至简至易的方法，一次修改过所有的杀毒软件! 　　 　　准备工作 　　 　　首先，准备自己需要免杀的木马，这里我们选择了查杀率最高的木马之一――上兴木马。上兴木马是除灰鸽子外最为流行的木马之一，各大杀毒软件都针对这类木马准备了多套查杀特征码及手段，因此免杀上兴木马是比较困难的，这也正好用以检测我们所使用的免杀方法效果到底怎么样。 　　另外，以前要制作免杀木马时，往往必须在系统中安装多款杀毒软件以进行免杀效果检测，反复安装卸载杀毒软件非常的麻烦。这里我们准备了一个在线查毒的网站“VlrSCANorg”。这是一个用于检测文件是否有病毒的多病毒引擎查毒站点，上传文件后可调用数十款杀毒软件引擎进行病毒检测，其中包括国内常用的各大杀毒软件，如金山、瑞星、江民、卡巴斯基、趋势、诺顿、Macefee等。 　　用VirSCAN网站检测刚制作好的上兴木马，检测结果显示，大部分杀毒软件都报警有病毒。下面就看看我们如何让检测结果中的红色报警全部变成正常通过吧! 　　 　　修政PE文件头 　　 　　下载“MaskPE 2.0”工具，这个工具可修改PE文件，用于生成免杀的木马或病毒。不过现在MaskPE已经不能实现免杀的效果了，我们只是用它来修改一下上兴木马的PE文件头，用于增加杀毒软件查杀的难度。至于一些普通不常用的木马，也可以省略这个步骤。 　　运行MaskPE，点击“LoadFile”按钮，浏览指定刚才生成的上兴木马文件。然后在下方最右边的下拉列表中选择加密类型为“Type2”或“Type3”，对于Tvpel加密的程序在运行时会还原，所以可能无法通过内存检测。最后点击“Make File”按钮。就可完成木马文件的PE修改了。 　　修改后的PE文件上传到VirSCAN网站上检测，发现经过修改后。仅免杀了其中一款不常见的杀毒软件。不过我们的目的仅仅是为后面的免杀作准备而已。另外，需要备份并运行PE修改后的木马文件，看看木马是否能够正常上线。 　　 　　核心――加密壳 　　 　　现在到了今天我们免杀技术的核心――加密壳。加壳是一种常见的免杀方法，但是以前我们介绍的都只是加上Aspack、UPX之类的普通壳，这些壳只属于压缩壳。虽然可以对木马起到加密的作用，但是现在各款杀毒软件早就能轻松的脱壳反查出木马了。今天要使用的是“加密壳”，这类壳与普通壳不同，是由一些厂商为保护软件而开发的特殊壳，可对程序的所有资源进行特殊的加密，根本无法进行反编译脱壳和还原破解。用加密壳加密过后的木马。杀毒软件无法进行脱壳查杀，因此可以突破杀毒软件实现免杀! 　　 　　Themida加壳 　　 　　Themida一款优秀的商业保护壳，强度非常高。直接下载运行“Themida 18.5.5正式版”会提示缺少文件，需要再下载“ThemidaFiles”，解压后将所有文件复制到“Themida正式版”目录中，即可正常运行。 　　运行Themida后，点击窗口中“lnput Filename”后的浏览按钮，浏览指定刚才修改过PE的木马文件，在“OutputFilename”处浏览指定木马加密保护后的文件路径。然后点击工具栏“Protect”按钮，即可打开加密保护对话框，点击“Protect”按钮即可开始进行加密保护了。 　　加密保护完成后，将生成文件上传到VirSCAN网站上检测，发现加密后的木马文件。已经躲过了大部分杀毒软件的查杀。国内的三大杀毒软件及卡巴斯基等，已经对木马视而不见了! 　　 　　ASProtct　SKE加密壳 　　 　　ASProtect SKE是一款非常著名的加宿壳，用它来对木马加密免杀的效果也非常好! 　　运行“ASP rotect SKE 2.3 build 05.14 beta”，在“Options”选项页中，点击“File to Protect”处浏览按钮。指定修改过PE的文件，在“Output To Filename”处指定生成加密文件路径。在加密选项“Protections Options”处勾选“Resou rces Protetion”以加密资源，其它保护项可根据需要设置。在“CompressiORS Options”处设置压缩率为最高“Good Compression”。 　　再切换到“Mode”选项页。点击“Add Mode”按钮，添加一个加密模式“1