作者:hacker发布时间:2022-07-18分类:黑客技术浏览:84评论:4
黑客把各种木马病毒
通过修改杀软病毒库里的特征码来免杀的
但这要一些个编程知识
免杀只是针对黑软而言,可以说它们生存的基础。而黑客是一门高深的学问,并不是所有的黑客都必须使用黑软。依赖工具的黑客不是好黑客,真正的黑客使用的是一技术和知识,而这两者无需免杀却永久免杀。
免杀,顾名思义就是说避免被杀毒软件查杀! 免杀的方法也有很多种,针对不同的情况我们运用不同的免杀方法。 ⒈文件免杀:加花/修改文件特征码/加壳/修改加壳后的文件。 ⒉内存免杀:修改特征码。 ⒊行为免杀。 现在我来揭开免杀神秘的面纱。(这里不对免杀做深入讨论,只对原理进行分析,毕竟这不是黑客教程) 加花 加花是病毒免杀的常用手段,加花原理就是通过添加加花指令(一些垃圾指令,类似加1减1之类的无用语句)让杀毒软件检测不到特征码。加花可以分为加区加花和去头加花。(只做了解,不做解释) 特征码修改 加花以后一些杀毒软件就认不出来了,但有些比较强的杀毒软件,像卡巴斯基这类,可能还是会被杀,这时就要定位特征码修改了,要修改特征码,就要先定位杀毒软件的病毒库所定位的特征码,这个有一定难度,特别是复合特征码的定位,但复合特征码虽然增加了定位特征码的难度,但复合特征码也有它的弱点,因为定义复合特征码需要单个特征码几倍的病毒库,不方便用户的病毒库升级,所以除了特别流行的病毒,杀毒软件厂商并没有做太多的复合特征码。 定位了特征码之后就应该修改特征码了,主要方法有两种:直接修改法,跳转修改法。 直接修改法利用的是等效指令替换,或者指令顺序的改变不影响执行的效果。还有一种是如果特征码是ASCll码,可以直接修改大小写,大写替换小写,小写替换大写。 跳转修改发比较简单,主要原理是把有特征码的那段NOP掉,然后把NOP掉的那段语句写入空白的0000区,在通过JMP跳转连接起来,让杀毒软件找不到特征码,从而达到免杀的目的。 加壳 加壳的原理是给原程序加上一段保护程序,有保护和加密功能,运行加壳后的文件先运行壳再运行真实文件,从而起到保护作用。 脱壳当然就是去掉保护程序 想要加壳后能达到免杀的效果 那就要加最新的免杀壳!!!!
标签:黑客为啥使用免杀工具
已有4位网友发表了看法:
访客 评论于 2022-07-19 00:24:52 回复
复合特征码需要单个特征码几倍的病毒库,不方便用户的病毒库升级,所以除了特别流行的病毒,杀毒软件厂商并没有做太多的复合特征码。 定位了特征码之后就应该修改特征码了,主要方法有两种:直接修改法,跳转修改法。 直接修改法利用的是等效指令替换,或者指令顺
访客 评论于 2022-07-18 13:40:42 回复
黑软而言,可以说它们生存的基础。而黑客是一门高深的学问,并不是所有的黑客都必须使用黑软。依赖工具的黑客不是好黑客,真正的黑客使用的是一技术和知识,而这两者无需免杀却永久免杀。黑客们常说的加壳和免杀是一回事吗?免杀,顾名思义就是说避免被杀毒
访客 评论于 2022-07-18 19:38:37 回复
码/加壳/修改加壳后的文件。 ⒉内存免杀:修改特征码。 ⒊行为免杀。 现在我来揭开免杀神秘的面纱。(这里不对免杀做深入讨论,只对原理进行分析,毕竟这不是黑客教程) 加花 加花是病毒免杀的常用手段
访客 评论于 2022-07-18 18:51:35 回复
加花 加花是病毒免杀的常用手段,加花原理就是通过添加加花指令(一些垃圾指令,类似加1减1之类的无用语句)让杀毒软件检测不到特征码。加花可以分为加区加花和去头加花。(只做了解,不做解释)