在杀毒软件越来越强的攻势下,拥有一只不被查杀的木马,已经成为了广大黑客爱好者的渴望。但是不被查杀的木马发布的那一天,就意味着它已经命不久已。授人以鱼,不如授人以渔,所以我们隆重推出了这个免杀特训班,相信大家在这里能够学习到自己需要的真本领。
一、杀毒软件的查杀模式
这三种是目前杀毒软件常用的杀毒模式。
1.文件查杀
杀毒软件对磁盘中的文件进行静态扫描,一旦发现文件带有病毒库中的病毒特征代码就给予查杀。(黑洞2005 服务端VS 卡巴做演示)
2.内存查杀
杀毒软件把病毒特征代码释放到内存中,然后与内存中的文件进行比对,发现有文件中带有病毒特征代码就给予查杀。(灰鸽子2005服务端 VS 瑞星做演示)
3.行为杀毒
杀毒软件用木马运行后的一些特定的行为作为判断是否为木马的依据。比如:啊拉QQ大盗在运行后会增加一个名为NTdhcp.exe的进程,还有彩虹桥的服务端在运行后会在注册表添加名为HKLM\SOFTWARE\Microsoft\ Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}\stubpath的键值。
[名词解释]病毒特征代码:杀毒软件截获到一个木马后,将会提取木马中比较关键的一段代码作为辨认这个木马的特征代码,在杀毒过程中把它拿出来和磁盘中的文件做比对。就和我们辨认人一样,一看到一个人就把他的相貌特征记下来,比如:大眼睛啊、瓜子脸啊,在下次见到他的时候一眼就可以认出来。
二、木马免杀技术大盘点
下面分析一下目前木马躲杀几种手段,主要针对文件查杀和内存查杀!
1.加壳免杀
大家应该都会,建议你选择一些生僻壳、强壳、新壳,或者加多重壳。
2.修改壳程序免杀
主要有两种:一是通过加花指令的方法把壳伪装成其它壳或者无壳程序。二是通过reloc类软件修改壳的区段入口点。
3.修改文件特征代码免杀
此方法的针对性是非常强的,就是说一般情况下你是修改的什么杀毒软件的特征代码,那么就只可以在这种杀毒软件下免杀。主要方法是:直接修改法 和 跳转修改法。其中跳转修改法可以用一些软件来做到,比如:vmprotect ,我给用工具实现跳转修改法,取了一个新名字叫:加密修改法。
4.加花指令免杀
此方法通用性强,而且效果好。主要有两种:加区加花和去头加花。
5.修改内存特征代码
目前内存杀毒的杀毒软件强的并不多。修改内存特征代码对于初学免杀的朋友来说,难点应该是在内存特征代码定位上。至于内存特征代码的修改其实和文件特征代码的修改是一样的为:跳转修改法和直接修改法。但是为了避免出错,建议大家尽量只使用直接修改法。
6. 阻止杀毒软件扫描内存
只是一个思路,可能要编程来实现。听说有的壳程序可以做到,但是本人还没有测试和验证。
三、杀毒软件的设置
做免杀需要把做出来的免杀木马在多种杀毒软件下测试,看看是否已经免杀。另外我们在定位病毒特征代码的时候也需要杀毒软件,所以计算机上安装多种杀毒软件是必然的。
但是一般安装两种或者两种以上的杀毒软件在计算机上它们就会冲突,轻则计算机运行变慢,重则死机。
下面我就教大家来设置杀毒软件,实现一台计算机安装多个杀毒软件。
第一、关闭自动更新病毒库 第二、关闭定时扫描 第三、关闭实时监控 第四、删除杀毒软件写在注册表的开机自动运行项目 第五、把计算机服务中杀毒软件添加的服务自动的改为手动。
(参考链接: http://security.ccidnet.com/art/1099/20070122/1007181_1.html)
|