壹.木馬免殺綜合方案
修改內存特征碼--->1>入口點加1免殺法 1>加壓縮殼1>--->再加殼或多重加殼
2>變化入口地址免殺法 2>加生僻殼--->2>加殼的偽裝.
3>加花指令法免殺法 3>加壓縮殼3>--->打亂殼的頭文件
4>修改文件特征碼免殺法
以上免殺方法可以自由組合成多種不同的免殺方案。
二.常用免殺方案
1.實例完全免殺方案壹:
內存特征碼修改+加UPX殼+秘密行動打亂殼的頭文件。
所需工具:UPX加殼工具,秘密行動
2.完全免殺方案二:
內存特征碼修改+加花指令+加壓縮殼
3.完全免殺方案三:
內存特征碼修改+加壓縮殼+加殼的偽裝或多重加殼
4.完全免殺方案四:
內存特征碼修改+去頭變換入口點地址+壓縮殼
5.完全免殺方案五:
內存特征碼修改+修改各種殺毒軟件特征碼+壓縮殼
6.完全變態免殺方案六:
內存特征碼修改+加花指令+去頭變換入口點+加UPX殼+用秘密行動打亂殼的頭文件(Ps:最牛的勒。。)
三.解決加花指令後運行出錯問題
1.分析其原因:我們加花指令時,壹般都找代碼段最後面的空白代碼地方也就是所謂的零區域,然後把我們準備好的花指令填進去,然後壹個跳轉跳到入口點。但是我們木馬的體積比較大,從入口點到最後面零區域的間隔比較遠,所以從低部跳到頭部由於間隔較遠就非常容易出錯。
3.新研究的免殺方法完美的解決了該問題:我把它取名為:中間過渡跳轉法
實例演示:中間過渡跳轉法來修改灰鴿子V1.22版或VIP2.0版。
中間過渡中轉法實現原理:首先我們在代碼段的中間位置,備份部分代碼,然後把我們要添加的花指令寫進去,寫完後,再跳到零區域,在這個零區域填入剛才我們備份好的代碼.填完後又要跳回填入花指令的生面.總之壹句話:把花指令填在代碼中間,被花指令覆蓋的代碼移到零區域去執行,然後又要跳回來.最後把入口點改成花指令的首地址.這樣就算完事了.
4.該新的免殺技術優點:以前的花指令只能填到零區域,也就是說入口點壹般都比較後面,所以有時會被卡巴查殺,但有了這種新方法後,程序入口點就變的非常靈活,可以定位在代碼段的任何位置,每定位壹個新的入口點就是壹種新的免殺方案.而且這種方法對付卡巴也很有效.把入口點放到代碼段的中間,是殺毒軟件萬萬想不到的,所以免殺效果是最好的.同時他解決了由於跳轉太遠使程序無運行的缺點,所以這種方法是相當完美的免殺方法.希望大家靈活運用