• 1650阅读
  • 14回复

[黑客动画吧:木马免杀特训班].浩天.共20讲 [复制链接]

上一主题 下一主题
离线啊冲
 

只看楼主 倒序阅读 使用道具 楼主  发表于: 2015-10-23
— 本帖被 啊冲 从 免杀教程 移动到本区(2015-10-23) —
免杀特训班课程
            主讲:浩天 QQ:78941849
第一课(木马免杀技术大盘点,以及杀毒软件的设置)
在杀毒软件越来越强的攻势下,拥有一只不被查杀的木马,已经成为了广大黑客爱好者的渴望。但是不被查杀的木马发布的那一天,就意味着它已经命不久已。授人以鱼,不如授人以渔,所以我们隆重推出了这个免杀特训班,相信大家在这里能够学习到自己需要的真本领。
一 、杀毒软件的查杀模式
          
                            
这三种是目前杀毒软件常用的杀毒模式。
1.     文件查杀
杀毒软件对磁盘中的文件进行静态扫描,一旦发现文件带有病毒库中的病毒特征代码就给予查杀。(黑洞2005 服务端VS 卡巴做演示)
2.     内存查杀
杀毒软件把病毒特征代码释放到内存中,然后与内存中的文件进行比对,发现有文件中带有病毒特征代码就给予查杀。(灰鸽子2005服务端 VS 瑞星做演示)
3.     行为杀毒
杀毒软件用木马运行后的一些特定的行为作为判断是否为木马的依据。比如:啊拉QQ大盗在运行后会增加一个名为NTdhcp.exe的进程,还有彩虹桥的服务端在运行后会在注册表添加名为HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}\stubpath的键值。
行为杀毒的典型杀毒软件—绿鹰PC万能精灵。
[名词解释] 病毒特征代码:杀毒软件截获到一个木马后,将会提取木马中比较关键的一段代码作为辨认这个木马的特征代码,在杀毒过程中把它拿出来和磁盘中的文件做比对。就和我们辨认人一样,一看到一个人就把他的相貌特征记下来,比如:大眼睛啊、瓜子脸啊,在下次见到他的时候一眼就可以认出来。
二 、木马免杀技术大盘点
  
下面分析一下目前木马躲杀几种手段,主要针对 文件查杀 和 内存查杀
  
1.加壳免杀
大家应该都会,建议你选择一些生僻壳、强壳、新壳,或者加多重壳。
2.修改壳程序免杀
主要有两种:一是通过加花指令的方法把壳伪装成其它壳或者无壳程序。
            二是通过reloc类软件修改壳的区段入口点。
3.修改文件特征代码免杀
此方法的针对性是非常强的,就是说一般情况下你是修改的什么杀毒软件的特征代码,那么就只可以在这种杀毒软件下免杀。主要方法是:直接修改法跳转修改法。其中跳转修改法可以用一些软件来做到,比如:vmprotect ,我给用工具实现跳转修改法,取了一个新名字叫:加密修改法
4.加花指令免杀
此方法通用性强,而且效果好。主要有两种:加区加花去头加花
5.修改内存特征代码
目前内存杀毒的杀毒软件强的并不多。比如:KV 虽然有内存杀毒但是它的内存病毒库是非常弱的,基本没有什么东西。卡巴斯机 的内存杀毒其实不是真正意义上的内存杀毒,大家可以测试,木马在卡巴斯机下一旦文件免杀,内存也就免杀了。
内存杀毒强的我个人认为还是我们国内的杀毒软件瑞星
修改内存特征代码对于初学免杀的朋友来说,难点应该是在内存特征代码定位上。
我们的 [中级阶段:提高篇] 将有两课重点讲叙怎样快速的做好内存定位。
至于内存特征代码的修改其实和文件特征代码的修改是一样的为:跳转修改法直接修改法。但是为了避免出错,建议大家尽量只使用 直接修改法
6. 阻止杀毒软件扫描内存,只是一个思路,可能要编程来实现。听说有的壳程序可以做到,但是本人还没有测试和验证。
三、杀毒软件的设置
做免杀需要把做出来的免杀木马在多种杀毒软件下测试,看看是否已经免杀。另外我们在定位病毒特征代码的时候也需要杀毒软件,所以计算机上安装多种杀毒软件是必然的。
但是一般安装两种或者两种以上的杀毒软件在计算机上它们就会冲突,轻则计算机运行变慢,重则死机。
下面我就教大家来设置杀毒软件,实现一台计算机安装多个杀毒软件。
第一、   关闭自动更新病毒库
第二、   关闭定时扫描
第三、   关闭实时监控
第四、   删除杀毒软件写在注册表的开机自动运行项目
第五、   把计算机服务中杀毒软件添加的服务自动的改为手动
本部分内容设定了隐藏,需要回复后才能看到

善者 慈悲心常在 无怨无恨 以苦为乐
默认压缩密码www.hifyl.com
文件分享密码问题:http://www.hifyl.com/read-htm-tid-4444.html
离线ghban

只看该作者 沙发  发表于: 2015-12-28
学习加谢谢阿冲
离线im86165507

只看该作者 板凳  发表于: 2016-01-21
离线dby627

只看该作者 地板  发表于: 2016-04-26

离线anycall1981

只看该作者 4楼 发表于: 2016-12-04
    
离线cjp115

只看该作者 5楼 发表于: 01-06
离线shajiaw

只看该作者 6楼 发表于: 03-14
学习加谢谢
离线老布衣

只看该作者 7楼 发表于: 04-28
现在的病毒就像马路上的车一样,一不小心就出了车祸了
离线bishuguang

只看该作者 8楼 发表于: 08-10
              
离线bishuguang

只看该作者 9楼 发表于: 08-10
                      
离线bishuguang

只看该作者 10楼 发表于: 08-10
                      
离线woaicsj829

只看该作者 11楼 发表于: 09-04
          
离线fuqinglinbin

只看该作者 12楼 发表于: 09-10
1111111111111111111111111111
离线寒雪冰熊

只看该作者 13楼 发表于: 09-11
支持精品了
离线1440407551

只看该作者 14楼 发表于: 10-27
学习学习
快速回复
限100 字节
批量上传需要先选择文件,再选择上传
 
上一个 下一个