实用花指令

木桩人

免杀经验: 1.加区,加花后,再加密,可以比较容易过卡巴----如加密工具vmprotect 脱壳过的木马---加花指令,或加区加花---加密---加压缩壳---再加区加花指 令 2.单单加免杀花指令已经不能过卡巴,一定要配合加免花后在加压缩壳,才能起到免杀卡巴的效果. vmprotect加密----再加花-----可过卡巴: 3.加双层花指令免杀法----免卡巴 4.加密---007内存免----加压 ---免卡巴或内存. 5.双层加密(maskpE)---加压 ----可过卡巴. 6.maskpe加密---asppack加壳 ---改入口点加1---可过卡巴







7.加密maskpe----加花或加区加花(用工具)-----加压缩壳---免卡巴 8.北斗对黑防鸽子可加压二次,再压其它压缩壳.以达免杀. 9.加过北斗壳,上向拉滚开鼠标50多次,有一段空代码,可以加花,转移.






10.去头转移入口点---加花----加密(vmprotect) ----加压缩==过所有杀毒 11.对付卡巴,加免杀花指令.花指令对瑞星表面查杀一般无效,一般加压缩壳. 12.对付瑞星表面: 有些黑软,加区,加花后被瑞星表面杀,可以这样:先加压过瑞星表面,然后加免杀花指令,过卡巴.


13.过瑞星表面的查杀方法: 1.加北斗内存免杀压缩壳 2.加过瑞星表面的专用加密工具. 3.用maskPE加密工具加密. -----------------　1--去头加花改入口　　2--修改特征过杀软　　3--加区建表重载入　　4--加密加壳终极法　　简单解释一下:　　1--去头加花改入口　　其实这句话的目的无非就是修改程序的入口点,打乱程序的结构,使杀毒软件无从查杀！很多小黑朋友们也听说过一句“入口点+1”的免杀方法，我个人并不推崇这这种免杀方法，因为这种方法即使过了杀软，也可能导致木马无法运行！我觉得这句话的精髓在于---加花—2字，加花才是真正的目的！现在流行的花指令很多，网上有的是，例如：　　push eax　　push eax　　nop　　pop eax　　pop eax　　sub eax,1　　inc eax　　push 入口地址　　retn　　由于只加一个花指令很难躲过杀软的查杀，大家可以尝试一下再加一个花指令，也就是所谓的---“二次加花”！大家如果不会用OD加花的话可以用个加花器来自动加花，有的手动加花后记得要修改程序的入口点可以用PEditor来修改文件的入口点。　　2—修改特征过杀软　　这种做法是过杀软的最稳健最根本的方法！现在的杀软也变聪明了，它们喜欢定位复合特征码，使得修改特征码多少增加了些难度。推荐大家使用CCL、MYCCL手动定位特征码来修改下，有不会的朋友建议大家恶补一下。　






　3—加区建表重载入　　个人觉得这种方法有点类似加花改入口。还是那句话，不会用OD的朋友去恶补一下，如果不想理解原理，那么给大家一款好工具---MaskPE2.0，这个软件能自动加区段，重新建表，达到免杀处理的目的。　　4—加密加壳终极法　　这种方法也是最简单，免杀速度最快的一种方法，推荐大家在加壳的时候不要加那些常见的壳，如：ASPACK、NSPACK等等，建议大家加新壳、强壳！最好是看雪论坛上那些强度很大的壳或者刚刚出来的壳，杀毒软件一般还杀不掉。






　　最后总结一下：将上面的几种方法结合起来是木马免杀的最好的方法，先加花再加强壳或者先加区建表再加强壳，这样做隐蔽性良好，杀毒软件一般不认。最后在网上还流行一种二次加壳的方法，就是先加一个壳之后，用资源释放工具将资源释放，再加一个壳，这样做也能过部分的杀软，但并不是所有的木马程序都能二次加壳，在此还要大家注意下。还有上面的方法都是在木马没有加壳的前提下做的，如果大家用PEID检测发现加了壳了还得先脱壳之后才能进行以下步骤！最后呢，大家最好还是找些旧的木马来做，因为杀软枪打出头鸟，总是盯的最新的木马不放，还有给大家一个忠告：希望大家能会用CCL、MYCCL手动定位特征码，这才是木马免杀技术的正确方向！