病毒特征码查找.docVIP

病毒特征码查找+修改法(即: 文件特征码的定位)2.病毒内存特征码查找+修改法(即:内存特征码的定位)3. 文件的加壳(最直接也是最方便的方法)4.文件的入口点加1法(也很方便)5.文件的加花指令法(这个前提是软件没有加壳.也很好,普遍性强!)6.释放出的DLL文件的修改法就这几种吧,其实我也不确定.好了~我就把这些技术一一讲解吧~第一各是文件的特征码查找+修改法~这个的有点很多~但是也有缺点,那么我现说有点吧.恩.这个的优点比较直接,那就是针对性非常强,意思就是说如果你对一木马进行了这种免殺,那么可以长达10天内某种杀毒软件查不出来,呵呵,强悍吧~但是针对性太强了,意思就是你一次只能针对一种杀毒软件.而且过程很漫长~大概要20分钟左右吧~你要很有耐心~这个大概就是缺点吧~我这里说下大概的步骤~下次写文章的时候详细说~”用CLL特征码定位器的手动定位出大概的特征码范围,然后在用自动定位定位出精确的病毒特征码,然后在把特征码部位全部填充为0.~就是这样~别看过程简单~作起来很麻烦的~”第二个是病毒内存特征码查找+修改法,这个根上面的一样~只是查杀对象不同~第三个是文件的加壳,这个我想大家都会吧~我只把要注意的事项简明一下好了:首先要有个好的壳~还有就是木马必须没加壳~如果加了壳就脱壳~)第四个是文件的入口点加1法,这个方法的原理我不怎么了解,但是我可以说出大概的过程:利用修改入口点工具查看入口点~然后把地址加1就可以了~比如一个程序的入口点是081E32 那么我们只要修改成 081E33 就可以了~这就是入口点加1,简单吧~我记得一个朋友写过一个教程叫什么 5秒钟打造免殺鸽子 吧~我看了~就是用 这个方法~第五个是文件的加花指令法,我先介绍下~什么花指令吧;花指令,就是一些程序的跳转指令,他的存在可以避过杀毒软件的追杀~而软件自身也不会被破坏~这个就是花指令的好处.再来讲讲怎么添加花指令吧:首先用OD载入一个无壳的软件~找到0区域(意思就是全部是0的地方,也就是没有符号和代码的地方,一般是4个0),然后加入花指令就OK了~全部完成时间大概就是3分钟~相当的快~而且普遍性强!非常强~我记得上次玩免殺鸽子的时候~搞了1个多月~金山都没杀出来..强悍吧!第六个是释放出的DLL文件的修改法,怎么说呢?这个其实算是跟病毒特征码查找+修改法一样的~只是这个麻烦些~就哪鸽子打个比方吧~鸽子服务端再运行后会生成3个文件,这3个文件的后缀都是DLL的~这个就是DLL文件.知道了吧~他的修改其实就是免殺~跟第一个一样的~好了~介绍了这么多了~相信大家也都懂了吧~这个是我第一次写文章~如果哪里又不懂的地方~请提出来~我会虚心的接受的~我的下一篇文章是各种免殺技巧的详细介绍与方法~可以让广大免殺菜鳥走向高手之路!谢谢 木马免杀原理详解 文章整理发布：黑客风云 文章来源： 更新时间：2007-1-31 首先来简单了解一下杀毒软件查杀病毒的原理，当前杀毒软件对病毒的查杀主要有特征代码法和行为监测法。其中前一个比较方法古老，又分为文件查杀和内存查杀，杀毒软件公司拿到病毒的样本以后，定义一段病毒特征码到病毒库中，然后与扫描的文件比对，如果一致则认为是病毒，内存查杀则是载入内存后再比对，第二个比较新，它利用的原理是某些特定的病毒会有某些特定的行为，来监测病毒。免杀常用的工具：1、Ollydbg 调试器简称OD， 2、动态追踪工具 ? ? 3、peid 查壳工具 ? 4、PEditor PE文件头编辑工具 5、CCL，伯乐，MYCCL 特征码定位器 ? 6、oc 地址转换器 ? ? 7、reloc 修改EP段地址工具 ? 8、zeroadd 加区工具 ? 9、Uedit32 十六进制编辑器 ? 免杀方法 一.文件免杀 ? 1.加花 ? 2.修改文件特征码 ? 3.加壳 ? 4.修改加壳后的文件 二.内存免杀 ? ? 修改特征码 三.行为免杀 加花? 加花是文件免杀的常用手段，加花原理就是通过添加花指令（一些垃圾指令,类似加1减1之类废话）让杀毒软件检测不到特征码。 加花可以分为加区加花和去头加花。 一般加花工具使用加区加花，当然也是可以手工加的，就是先用zeroadd添加一个区段，然后在新加区段里写入花指令，然后跳转到原入口； 去头加花,是先NOP（汇编里的空操作）掉程序的入口几行，然后找到下方0000区，写入NOP掉的代码和一些花指令，再通过JMP（汇编里的无条件跳转）跳到原入口。举个例子说明一下去头加花：图1这是PcShare服务端入口处的一段代码，原入口地址是00403D7D，因为是演示我就用两句最简单的垃圾代码，花指令可以自己去找或者自己写push eax;e