当前位置：首页 > 黑客技术 > 正文内容

惢黑客免杀（黑客技术）

hacker2年前 (2022-06-01)黑客技术87

本文导读目录：

1、黑客免杀入门和精通黑客免杀这两本书哪个好？

2、免杀有几种方法

3、黑客们常说的加壳和免杀是一回事吗？

4、免杀对黑客有多重要

5、黑客X档案的《黑客免杀入门》这本书怎么样？

6、怎么学习免杀?

黑客免杀入门和精通黑客免杀这两本书哪个好？

一个是黑客X档案的，一个是黑客手册的……

他们搞竞争的嘛，目前我就只买了精通……

我觉得精通也不错。

其实两本书我觉得应该差不多，选择一本就可以了，原理都一样，主要是看自己的学习能力

免杀有几种方法

特征码修改包括文件特征码修改和内存特征码修改，因为这二种特征码的修改方法

是通用的。所以就对目前流行的特征码修改方法作个总节。

方法一:直接修改特征码的十六进制法

1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.

2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下能

否正常使用.

方法二:修改字符串大小写法

1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.

2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.

方法三:等价替换法

1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.

2.适用范围:特征码中必需有可以替换的汇编指令.比如JN,JNE 换成JMP等.

如果和我一样对汇编不懂的可以去查查8080汇编手册.

方法四:指令顺序调换法

1.修改方法:把具有特征码的代码顺序互换一下.

2.适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行

方法五:通用跳转法

1.修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.

2.适用范围:没有什么条件,是通用的改法,强烈建议大家要掌握这种改法.

文件免杀方法：

1.加冷门壳

2.加花指令

3.改程序入口点

4.改木马文件特征码的5种常用方法

5.还有其它的几种免杀修改技巧

内存免杀方法：

修改内存特征码：

方法1直接修改特征码的十六进制法

方法2修改字符串大小写法

方法3等价替换法

方法4指令顺序调换法

方法5通用跳转法

木马的免杀[学用CLL定位文件和内存特怔码]

1.首先我们来看下什么叫文件特征码.

一般我们可以这样认为，一个木马程序在不运行的情况下，用杀毒软件查杀，若报警为病毒，说明存在该查毒软件的文件特征码的。

2.特征码的二种定位方法.

手动定位和自动定位

3.文件特征码的定位技巧.

通常用手动确定大范围，用自动精确定位小范围.

下面分别用瑞星和卡巴为例，实例演示并结合手动定位和自动定位二种方法来准确定位文件特征码。要定位的对像以下载者为例。

用卡巴来定位文件特征码

⑴.手动定位：

1 打开CLL

2 选择设置中的总体参数，，，，，选中文件特征码手动定位，，，，以及路径

3选中设置中的手动参数，，，，，选择替换方式选中，，，总共生成规定个数的文件，，，生成个数为1000

4选择文件中的特征码检测，，文件特征码检测，，，打开程序（要定位特证码的程序）

5在弹出的PE窗口中直接点确定，之后弹出的窗口在点确定

6然后等CLL生成完毕之后用杀毒软件进行查杀

7在CLL中选操作，结果定位，选中刚刚用来存放检测结果的文件夹

8在CLL中选

文件免杀之加花指令法

一.花指令相关知识：

　其实是一段垃圾代码，和一些乱跳转，但并不影响程序的正常运行。加了花指令后，使一些杀毒软件无法正确识别木马程序，从而达到免杀的效果。

二.加花指令使木马免杀制作过程详解：

第一步：配置一个不加壳的木马程序。

第二步：用OD载入这个木马程序，同时记下入口点的内存地址。

第三步：向下拉滚动条，找到零区域（也就是可以插入代码的都是0的空白地方）。并记下零区域的起始内存地址。

第四步：从这个零区域的起始地址开始一句一句的写入我们准备好的花指令代码。

第五步：花指令写完后，在花指令的结束位置加一句：JMP　刚才OD载入时的入口点内存地址。

第六步：保存修改结果后，最后用PEditor这款工具打开这个改过后的木马程序。在入口点处把原来的入口地址改成刚才记下的零区域的起始内存地址，并按应用更改。使更改生效。

三.加花指令免杀技术总节：

　1.优点：通用性非常不错，一般一个木马程序加入花指令后，就可以躲大部分的杀毒软件，不像改特征码，只能躲过某一种杀毒软件。

　2.缺点：这种方法还是不能过具有内存查杀的杀毒软件，比如瑞星内存查杀等。

　3.以后将加花指令与改入口点，加壳，改特征码这几种方法结合起来混合使用效果将非常不错。

四.加花指令免杀要点：

由于黑客网站公布的花指令过不了一段时间就会被杀软辨认出来，所以需要你自己去搜集一些不常用的花指令，另外目前还有几款软件可以自动帮你加花，方便一些不熟悉的朋友，例如花指令添加器等。

修改内存特征码---1入口点加1免杀法 1加压缩壳1---再加壳或多重加壳

2变化入口地址免杀法 2加生僻壳---2加壳的伪装.

3加花指令法免杀法 3加压缩壳3---打乱壳的头文件

4修改文件特征码免杀法

以上免杀方法可以自由组合成多种不同的免杀方案。

二.常用免杀方案

1.实例完全免杀方案一：

内存特征码修改＋加UPX壳＋秘密行动打乱壳的头文件。

所需工具：UPX加壳工具，秘密行动

2.完全免杀方案二：

内存特征码修改＋加花指令＋加压缩壳

3.完全免杀方案三：

内存特征码修改＋加压缩壳＋加壳的伪装或多重加壳

4.完全免杀方案四：

内存特征码修改＋去头变换入口点地址＋压缩壳

5.完全免杀方案五：

内存特征码修改＋修改各种杀毒软件特征码＋压缩壳

6.完全变态免杀方案六：

内存特征码修改＋加花指令＋去头变换入口点＋加UPX壳＋用秘密行动打乱壳的头文件.

免杀离不开破解。所以还是去看雪学院，一蓑烟雨，飘云阁，黑蚂蚁都是不错的地方。

黑客们常说的加壳和免杀是一回事吗？

免杀，顾名思义就是说避免被杀毒软件查杀！免杀的方法也有很多种，针对不同的情况我们运用不同的免杀方法。 ⒈文件免杀：加花/修改文件特征码/加壳/修改加壳后的文件。 ⒉内存免杀：修改特征码。 ⒊行为免杀。现在我来揭开免杀神秘的面纱。（这里不对免杀做深入讨论，只对原理进行分析，毕竟这不是黑客教程）加花加花是病毒免杀的常用手段，加花原理就是通过添加加花指令（一些垃圾指令，类似加1减1之类的无用语句）让杀毒软件检测不到特征码。加花可以分为加区加花和去头加花。（只做了解，不做解释）特征码修改加花以后一些杀毒软件就认不出来了，但有些比较强的杀毒软件，像卡巴斯基这类，可能还是会被杀，这时就要定位特征码修改了，要修改特征码，就要先定位杀毒软件的病毒库所定位的特征码，这个有一定难度，特别是复合特征码的定位，但复合特征码虽然增加了定位特征码的难度，但复合特征码也有它的弱点，因为定义复合特征码需要单个特征码几倍的病毒库，不方便用户的病毒库升级，所以除了特别流行的病毒，杀毒软件厂商并没有做太多的复合特征码。定位了特征码之后就应该修改特征码了，主要方法有两种：直接修改法，跳转修改法。直接修改法利用的是等效指令替换，或者指令顺序的改变不影响执行的效果。还有一种是如果特征码是ASCll码，可以直接修改大小写，大写替换小写，小写替换大写。跳转修改发比较简单，主要原理是把有特征码的那段NOP掉，然后把NOP掉的那段语句写入空白的0000区，在通过JMP跳转连接起来，让杀毒软件找不到特征码，从而达到免杀的目的。加壳加壳的原理是给原程序加上一段保护程序，有保护和加密功能，运行加壳后的文件先运行壳再运行真实文件，从而起到保护作用。脱壳当然就是去掉保护程序想要加壳后能达到免杀的效果那就要加最新的免杀壳!!!!

免杀对黑客有多重要

免杀只是针对黑软而言，可以说它们生存的基础。而黑客是一门高深的学问，并不是所有的黑客都必须使用黑软。依赖工具的黑客不是好黑客，真正的黑客使用的是一技术和知识，而这两者无需免杀却永久免杀。

黑客X档案的《黑客免杀入门》这本书怎么样？

A1Pass大牛写的，国内实力派黑客团队EST（邪恶八进制）成员……

我就是在百度知道里认识他的，为人比较低调。^_^

这本书还有EST老大冰雪封情的写的推荐序，貌似阵容很强大！！

这本书我买了，讲的全面并且深入，个人认为还不错。

以下是我在他博客摘录的：

***********************************************

定价：32元（240页，140千字）

简介：

现在的网络病毒木马横行，每天都有数百种新型病毒与木马出现，而这其中相当大的一部分其实就是经过骇客们免杀处理的变种。因此为了使想研究免杀技术的病毒防御工作者与黑客技术爱好者更加透彻与系统的了解免杀技术，我在黑客X档案的支持下写了这本书，意在给需要它的人一个详尽的参考，并对免杀技术做一个比较系统的阐述。

《黑客免杀入门》是现在国内仅有的几本免杀技术书籍之一。鉴于免杀技术的性质与其它已上市图书的特点，本书除了详尽的介绍了免杀方法外，更兼顾了免杀原理与思路突破的介绍，并驳斥了网络与书本上关于免杀技术的一些错误理论，而且对圈内的部分模糊概念作了详尽的澄清，真正做到了一些具有突破性质的原理介绍，作者之所以下如此大的精力研究这些，只是为争取使本书的读者更加透彻的了解免杀技术。

除此之外，书中使用简单易懂的语言阐述了现在某些专业杀毒防毒书籍中都未曾提到起的一些珍贵资料，使您在反向更加了解现有免杀方法的优点与缺点。因此，相信本书会成为一本初学者与高手都认为物有所值的著作，更相信本书会使您爱上免杀技术。

涉及内容：

各种免杀技术、手动脱壳、改壳、汇编、简单的逆向工程、汉化等

适合读者：

1、对杀毒或黑客技术感兴趣的朋友。

这本书将带领您进入免杀这个没有硝烟的智力战场。

2、免杀爱好者。

这本书将是您很好的参考手册

3、电脑病毒防御工作人员。

正可谓知己知彼，百战不殆！在您了解了各种免杀原理与思想后，相信会帮助您在杀毒软件发展与创新方面快速取得灵感。

4、对软件加密、解密感兴趣的朋友。

一、和我一起来认识免杀

1.1 什么是免杀

1.2 免杀的发展史

1.3 免杀能做什么

二、组建试验环境

2.1 我们需要什么

2.2 安装虚拟机

2.2.1 影子系统的安装与使用

2.2.2 VMware虚拟机的安装与使用

2.3 杀毒软件的安装与设置

2.4 认识我们的免杀利器

三、免杀基础知识

3.1 杀毒软件的原理与杀毒技术简介

3.1.1 杀毒软件工作原理

3.1.2 基于文件扫描的杀毒技术

3.1.3 基于内存扫描的杀毒技术

3.1.4 杀毒技术前沿

3.1.5 杀毒技术展望

3.2 了解PE文件

3.2.1 什么是PE文件

3.2.2 认识PE文件

3.3 文件免杀原理

3.3.1 什么是特征码

3.3.2 文件免杀原理

3.4工具脱壳技巧

3.4.1 专用脱壳工具脱壳

3.4.2 使用通用脱壳工具

四、特征码免杀技术

4.1 战前热身——脚本木马免杀实例

4.1.1理想状态下的免杀

4.1.2脚本木马也要玩“花指令”

4.2 特征码定位原理

4.2.1 CCL特征码定位原理

4.2.2 MYCCL特征码定位原理

4.2.3 MultiCCL特征码定位原理

4.3 脚本木马定位特征码技巧

4.4 MYCCL查找文件特征码

4.4.1 MYCCL的典型应用

4.4.2 针对MYCCL的一点思考

4.5 MYCCL查找内存特征码

4.6 MultiCCL使用技巧

4.6.1 MultiCCL介绍

4.6.2 MultiCCL定位文件特征码

4.6.3 MultiCCL定位内存特征码

4.6.4 由MultiCCL想到的

4.7 特征码修改方法

4.7.1 简单的特征码修改

4.7.2 特征码修改进阶

五、其他免杀技术

5.1 改文件头免杀

5.1.1 操作篇

5.1.2 原理篇

5.2 入口点免杀技术

5.2.1 操作篇

5.2.2 原理篇

5.3 使用Vmprotect加密

5.3.1 操作篇

5.3.2 原理篇

5.4 Restorator资源修改

5.4.1 操作篇

5.4.2 原理篇

5.5 Overlay附加数据处理及应用

5.5.1 操作篇

5.5.2 原理篇

5.6 Sys免杀修改技巧

5.6.1 sys文件的常见免杀方法

5.6.2 sys文件的手工免杀思路

5.7 补丁在免杀中的应用

5.7.1 操作篇

5.7.2 原理篇

5.8 免杀根基——PE文件介绍

5.8.1 PE文件格式

5.8.2 虚拟内存的简单介绍

5.8.3 PE文件的内存映射

5.9 PE文件中的免杀技术

5.9.1 移动PE文件头位置免杀

5.9.2 输入表移动免杀

5.9.3 输出表移动免杀

5.10 网页木马的免杀技术

5.10.1 脚本木马免杀

5.10.2小论网页木马的免杀

六、免杀与花指令

6.1 什么是花指令

6.2 脚本木马的花指令应用

6.3 花指令根基——了解汇编语言

6.3.1 认识汇编

6.3.2 由汇编语言想到的——通过反汇编添加任意功能

6.4 花指令入门

6.5 花指令在免杀领域的应用

6.5.1 花指令的应用技巧

6.5.2 花指令的修改技巧简介

6.5.3 空白区域寻找与加空白区段

6.6 花指令的高级应用

6.6.1 花指令的提取与快速应用

6.6.2 SEH异常的应用

七、免杀与壳

7.1 什么是壳

7.2 壳的基础知识

7.3 壳在免杀领域的应用

7.3.1 加壳的免杀原理

7.3.2 FreeRes多重加壳

7.4 壳的修改技巧

7.4.1 壳的初级修改

7.4.2 制作通用补丁

7.5 手工脱壳技巧

7.5.1 手工脱壳基础

7.5.2 SFX自解压法脱壳

7.5.3 出口标志法脱dePack壳

7.5.4 单步跟踪法脱壳

7.5.5 经典的ESP定律脱壳

7.5.6 最后一次异常法脱壳

7.5.7 内存镜像法脱壳

7.5.8 模拟跟踪法脱壳

7.5.9 非完美脱壳后的程序修复

八、免杀技术前沿

8.1 杀毒与免杀技术的发展

8.2 启发式杀毒原理

8.2.1 启发式杀毒原理

8.2.2 启发性标志详解

8.3 针对启发式杀毒的免杀方法

8.4 主动防御的原理

8.4.1 初探主动防御

8.4.2 主动防御的原理

8.5 针对主动防御的免杀方法

8.5.1 剖析主动防御的弱点

8.5.2 修改时间攻破卡巴斯基

8.5.3 通过主动防御特征码来突破瑞星主防

8.5.4 手工打造突破主动防御

8.6 与杀毒软件的对抗

九、免杀技术补白

9.1 综合免杀实例

9.1.1 策划安排

9.1.2 设计免杀流程与免杀对策

9.1.3 设计免杀执行方案

9.1.4 按照执行方案执行免杀操作

9.2 免杀中的汉化技术

9.2.1 VB程序的汉化与修改

9.2.2 C程序的汉化与修改

9.2.3 Delphi程序的汉化与修改

9.3 病毒命名规则初探

9.4 关于免杀的几个FAQ

****************************************************

给点奖励分吧……

怎么学习免杀?

免杀技术的分类1、开源免杀：指在有病毒、木马源代码的前提下，通过修改源代码进行免杀。

2、手工免杀：指在仅有病毒、木马的可执行文件（PE文件）的情况下进行免杀。 [编辑本段]五、怎样了解、学习免杀目前国内有关于介绍黑客免杀技术的书籍共有两本《黑客免杀入门》与《精通黑客免杀》。

《黑客免杀入门》为近期出版，但其介绍的内容更加详细，内容讲解更为透彻，更有深度。

《精通黑客免杀》较早出版，因而有关于免杀技术的介绍不是很详细，但其附带的光盘中附带了几百兆的操作录像，是不可多得的宝贵资源。 [编辑本段]六、免杀技术概览手工免杀分类：

1.文件免杀和查杀:不运行程序用杀毒软件进行对该程序的扫描，所得结果。

2.内存的免杀和查杀:判断的方法1运行后,用杀毒软件的内存查杀功能.

2用OD载入,用杀毒软件的内存查杀功能.

什么叫特征码：

1.含意:能识别一个程序是一个病毒的一段不大于64字节的特征串.

2.为了减少误报率,一般杀毒软件会提取多段特征串,这时,我们往往改一处就可达到

免杀效果,当然有些杀毒软件要同时改几处才能免杀.(这些方法以后详细介绍)

3.下面用一个示意图来具体来了解一下特征码的具体概念

特征码的定位与原理：

1.特征码的查找方法:文件中的特征码被我们填入的数据（比如0）替换了，那杀毒软

件就不会报警，以此确定特征码的位置

2.特征码定位器的工作原理:原文件中部分字节替换为0，然后生成新文件，再根据杀

毒软件来检测这些文件的结果判断特征码的位置

认识特征码定位与修改的工具：

1.CCL(特征码定位器)

2.OllyDbg (特征码的修改)

3.OC(用于计算从文件地址到内存地址的小工具)

4.UltaEdit-32(十六进制编辑器,用于特征码的手工准确定位或修改)

特征码修改方法：