木桩人 发表于 2016-5-4 11:27:54

实用花指令

免杀经验: 1.加区,加花后,再加密,可以比较容易过卡巴----如加密工具vmprotect 脱壳过的木马---加花指令,或加区加花---加密---加压缩壳---再加区加花指 令 2.单单加免杀花指令已经不能过卡巴,一定要配合加免花后在加压缩壳,才能起到免杀卡巴的效果. vmprotect加密----再加花-----可过卡巴: 3.加双层花指令免杀法----免卡巴 4.加密---007内存免----加压 ---免卡巴或内存. 5.双层加密(maskpE)---加压 ----可过卡巴. 6.maskpe加密---asppack加壳 ---改入口点加1---可过卡巴







7.加密maskpe----加花或加区加花(用工具)-----加压缩壳---免卡巴 8.北斗对黑防鸽子可加压二次,再压其它压缩壳.以达免杀. 9.加过北斗壳,上向拉滚开鼠标50多次,有一段空代码,可以加花,转移.






10.去头转移入口点---加花----加密(vmprotect) ----加压缩==过所有杀毒 11.对付卡巴,加免杀花指令.花指令对瑞星表面查杀一般无效,一般加压缩壳. 12.对付瑞星表面: 有些黑软,加区,加花后被瑞星表面杀,可以这样:先加压过瑞星表面,然后加免杀花指令,过卡巴.


13.过瑞星表面的查杀方法: 1.加北斗内存免杀压缩壳 2.加过瑞星表面的专用加密工具. 3.用maskPE加密工具加密. ----------------- 1--去头加花改入口  2--修改特征过杀软  3--加区建表重载入  4--加密加壳终极法  简单解释一下:  1--去头加花改入口  其实这句话的目的无非就是修改程序的入口点,打乱程序的结构,使杀毒软件无从查杀!很多小黑朋友们也听说过一句“入口点+1”的免杀方法,我个人并不推崇这这种免杀方法,因为这种方法即使过了杀软,也可能导致木马无法运行!我觉得这句话的精髓在于---加花—2字,加花才是真正的目的!现在流行的花指令很多,网上有的是,例如:  push eax  push eax  nop  pop eax  pop eax  sub eax,1  inc eax  push 入口地址  retn  由于只加一个花指令很难躲过杀软的查杀,大家可以尝试一下再加一个花指令,也就是所谓的---“二次加花”!大家如果不会用OD加花的话可以用个加花器来自动加花,有的手动加花后记得要修改程序的入口点可以用PEditor来修改文件的入口点。  2—修改特征过杀软  这种做法是过杀软的最稳健最根本的方法!现在的杀软也变聪明了,它们喜欢定位复合特征码,使得修改特征码多少增加了些难度。推荐大家使用CCL、MYCCL手动定位特征码来修改下,有不会的朋友建议大家恶补一下。 






 3—加区建表重载入  个人觉得这种方法有点类似加花改入口。还是那句话,不会用OD的朋友去恶补一下,如果不想理解原理,那么给大家一款好工具---MaskPE2.0,这个软件能自动加区段,重新建表,达到免杀处理的目的。  4—加密加壳终极法  这种方法也是最简单,免杀速度最快的一种方法,推荐大家在加壳的时候不要加那些常见的壳,如:ASPACK、NSPACK等等,建议大家加新壳、强壳!最好是看雪论坛上那些强度很大的壳或者刚刚出来的壳,杀毒软件一般还杀不掉。






  最后总结一下:将上面的几种方法结合起来是木马免杀的最好的方法,先加花再加强壳或者先加区建表再加强壳,这样做隐蔽性良好,杀毒软件一般不认。最后在网上还流行一种二次加壳的方法,就是先加一个壳之后,用资源释放工具将资源释放,再加一个壳,这样做也能过部分的杀软,但并不是所有的木马程序都能二次加壳,在此还要大家注意下。还有上面的方法都是在木马没有加壳的前提下做的,如果大家用PEID检测发现加了壳了还得先脱壳之后才能进行以下步骤!最后呢,大家最好还是找些旧的木马来做,因为杀软枪打出头鸟,总是盯的最新的木马不放,还有给大家一个忠告:希望大家能会用CCL、MYCCL手动定位特征码,这才是木马免杀技术的正确方向!







页: [1]
查看完整版本: 实用花指令