本文目录一览：

• 1、制作木马免杀的具体步骤
• 2、源码免杀是个什么概念?
• 3、木马程序如何弄免杀

制作木马免杀的具体步骤

一.花指令相关知识：

其实是一段垃圾代码，和一些乱跳转，但并不影响程序的正常运行。加了花指令后，使一些杀毒软件无法正确识别木马程序，从而达到免杀的效果。

二.加花指令使木马免杀制作过程详解：

第一步：配置一个不加壳的木马程序。

第二步：用OD载入这个木马程序，同时记下入口点的内存地址。

第三步：向下拉滚动条，找到零区域（也就是可以插入代码的都是0的空白地方）。并记下零区域的起始内存地址。

第四步：从这个零区域的起始地址开始一句一句的写入我们准备好的花指令代码。

第五步：花指令写完后，在花指令的结束位置加一句：JMP 刚才OD载入时的入口点内存地址。

第六步：保存修改结果后，最后用PEditor这款工具打开这个改过后的木马程序。在入口点处把原来的入口地址改成刚才记下的零区域的起始内存地址，并按应用更改。使更改生效。

三.加花指令免杀技术总节：

1.优点：通用性非常不错，一般一个木马程序加入花指令后，就可以躲大部分的杀毒软件，不像改特征码，只能躲过某一种杀毒软件。

2.缺点：这种方法还是不能过具有内存查杀的杀毒软件，比如瑞星内存查杀等。

3.以后将加花指令与改入口点，加壳，改特征码这几种方法结合起来混合使用效果将非常不错。

四.加花指令免杀要点：

由于黑客网站公布的花指令过不了一段时间就会被杀软辨认出来，所以需要你自己去搜集一些不常用的花指令，另外目前还有几款软件可以自动帮你加花，方便一些不熟悉的朋友，例如花指令添加器等。

五.常见花指令代码

1。 VC++ 5.0

PUSH EBP

MOV EBP,ESP

PUSH -1

push 515448

PUSH 6021A8

MOV EAX,DWORD PTR FS:[0]

PUSH EAX

MOV DWORD PTR FS:[0],ESP

ADD ESP,-6C

PUSH EBX

PUSH ESI

PUSH EDI

jmp 跳转到程序原来的入口点

2。c ++

push ebp

mov ebp,esp

push -1

push 111111

push 222222

mov eax,fs:[0]

push eax

mov fs:[0],esp

pop eax

mov fs:[0],eax

pop eax

pop eax

pop eax

pop eax

mov ebp,eax

jmp 跳转到程序原来的入口点

源码免杀是个什么概念?

一、什么是免杀免杀，也就是反病毒（AntiVirus）与反间谍（AntiSpyware）的对立面，英文为Anti-AntiVirus（简写Virus AV），逐字翻译为“反-反病毒”，我们可以翻译为“反杀毒技术”。单从汉语“免杀”的字面意思来理解，可以将其看为一种能使病毒木马避免被杀毒软件查杀的技术。但是不得不客观地说，免杀技术的涉猎面非常广，您可以由此轻松转型为反汇编、逆向工程甚至系统漏洞的发掘等其他顶级黑客技术，由此可见免杀并不简单。

源码免杀就是得到了程序源代码里面被杀的特征码 函数 在编译出来的程序它比普通的免杀存活时间长上不少。

木马程序如何弄免杀

木马免杀浓缩精华版教程 第一部分：对国内外杀毒软件分析 在讲定位内存特征码前，先要分析国内外著名杀毒软件的内存查杀特点。大家在使用木马过程都会发现，内存查杀，一般都指得被瑞星的内存查杀。瑞星的内存查杀功能是同类杀毒软件中最强的一款杀毒软件。像强悍的卡巴，金山，等等它们的内存查杀意义不大,会制作免杀木马的人都知道,像这类杀毒软件,只要文件免杀,内存也就免杀了.还有江民也有内存查杀功能,但内存查杀功能比较弱.只针对影响力非常大的病毒程序.一般的黑客软件都没有提取内存特征码. 第二部分：木马免杀的对策 一. 要使一个木马免杀，首先要准备一个不加壳的木马，这点非常重要，否则下面的免杀操作就不能进行下去。 二.然后我们要木马的内存免杀，从上面分析可以看出，目前的内存查杀，只有瑞星最强，其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀，要进行内存特征码的定位和修改，才能内存免杀。 三.对符其它的杀毒软件，比如江民，金山，诺顿,卡巴.我们可以采用下面的方法,或这些方面的组合使用. 1.入口点加1免杀法. 2.变化入口地址免杀法 3.加花指令法免杀法 4.加壳或加伪装壳免杀法. 5.打乱壳的头文件免杀法. 6.修改文件特征码免杀法. 第三部分:免杀技术实例演示部分 一.入口点加1免杀法: 1.用到工具:PEditor 2.特点:非常简单实用,但有时还会被卡巴查杀. 3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可. 二.变化入口地址免杀法: 1.用到工具:OllyDbg,PEditor 2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳. 3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址. 三.加花指令法免杀法: 1.用到工具:OllyDbg,PEditor 2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀. 3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令的着地址. 四.加壳或加伪装壳免杀法: 1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等. 2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀. 3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的免杀效果更佳. 五.打乱壳的头文件或壳中加花免杀法: 1.用到工具:秘密行动 ,UPX加壳工具. 2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好. 3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果. 六.修改文件特征码免杀法: 1.用到工具:特征码定位器,OllyDbg 2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好. 3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程. 第四部分:快速定位与修改瑞星内存特征码 一.瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符串作为病毒特征码,这样对我们的定位和修改带来了方便. 二.定位与修改要点: 1.首先用特征码定位器大致定位出瑞星内存特征码位置 2.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征码后,只要把字符串的大小写互换就能达到内存免杀效果. 第五部分:免杀方案实例演示部分 1.完全免杀方案一: 内存特征码修改 + 加UPX壳 + 秘密行动工具打乱UPX壳的头文件. 2.完全免杀方案二: 内存特征码修改 + 加压缩壳 + 加壳的伪装 3.完全免杀方案三: 内存特征码修改 + 修改各种杀毒软件的文件特征码 + 加压缩壳 4.完全免杀方案四: 内存特征码修改 + 加花指令 + 加压壳 5.完全变态免杀方案五: 内存特征码修改 + 加花指令 + 入口点加1 + 加压缩壳UPX + 打乱壳的头文件 还有其它免杀方案可任意组合.达到更好的免杀效果.