免杀之个人经验总结

1.比如你定位一个特征码定位到了一个字符串上我们比如这个特征码定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,遇到这个我想大家一定是修改大小写吧,但是有时候修改大小写还是被杀。 这个我们可以怎么办呢,我们可以移动位置,因为这个肯定是一个api函数的参数,我们找到那个函数然后修改下调用地址就行了。 所以有时候大家不能总用通用方法,要学会变通。


2.NOD32的疑问
前天有一个会员来问我他说它定位NOD32,定位到了资源上,这个有一个可能是你的定位有错误。这个你可以通过multiccl把资源和输入表段保护起来,然后定位,看可以定位出其他的特征码不能。

3.花指令
花指令无非是一些干扰程序调试的一些手段,当然也可以作为用来迷惑杀毒软件使杀毒软件找不到我们的特征码,从而达到免杀。
为什么大家总是喜欢用网上的一些什么花指令方法。其实我发现其实多调用一些子程序,多加一些跳转,要比你们写花指令要好的多。 比如你写一些废话 然后通过call调用,然后在多加几个跳转。我想免杀的时间要比你们在那里对照8080汇编手册写出来的要好的多,免杀就是要靠自己去想。

4.DLL文件免杀出现重定位
大家可以参考黑防9期文章里的那篇文章,这里我不多讲了。。


5.为什我服务端做了免杀,可是生成出来被杀。
   这个大家首先可以对比一下有什么不同的地方,这个我给大家一个思路,现在杀毒软件就喜欢定位有标志型意义的地方(通俗点讲版权信息),大家在做的时候因为为了保护我们的木马,所以就委屈下原作者,呵呵。版权信息给改了。 还有一个就是比如说灰鸽子,现在杀软会定位到它的一些dll文件名上,你修改完dll然后找到调用dll文件的函数,然后修改下参数即可。。。。


6.定位技巧
我总是教导大家要学会变通,可是总是没人听。比如你用MYCLL定位特征码为什么总是跟着别人学呢。别人用00填充你就用00填充,有一些杀软有反定位措施的,会判断的, 这里推荐给大家用multiCCL,它这个随机生成数据串填充。或者你在MYCLL定位的时候改一下用60都可以啊。

 

   以上是我个人免杀中的一点总结,有说的不对的地方也请各位牛人多多指教。我想说的是我上面说的一些大家可以自由发挥。不要我说什么你就做什么,要学会把别人的东西变成自己的。

 

 

你可能感兴趣的:(windows,Microsoft)