怎么做免杀。。

如何制作免杀？~

去百度上so一下 如果拟不想so我可一给你搬过来 ,如果你想学习免杀技术:1.基础的汇编语言 2.修改工具(不指那些傻瓜式软件).如:
OllyDbg . PEditor. C32ASM . MYCCL复合特征码定位器.UE .OC. 资源编辑器等.还有一些查壳 脱壳软件(如:PEID RL脱壳机等) . 以下是常用的几种免杀方法及工具:一. 要使一个木马免杀，首先要准备一个不加壳的木马，这点非常重要，否则

免杀操作就不能进行下去。

二.然后我们要木马的内存免杀，从上面分析可以看出，目前的内存查杀，只有

瑞星最强，其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀

，要进行内存特征码的定位和修改，才能内存免杀。

二.对符其它的杀毒软件，比如江民，金山，诺顿,卡巴.我们可以采用下面的方

法,或这些方面的组合使用.1>.入口点加1免杀法.

2>.变化入口地址免杀法
3>.加花指令法免杀法

4>.加壳或加伪装壳免杀法.

5>.打乱壳的头文件免杀法.

6>.修改文件特征码免杀法.



第三部分:免杀技术实例演示部分



一.入口点加1免杀法:

1.用到工具:PEditor

2.特点:非常简单实用,但有时还会被卡巴查杀.

3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可.


二.变化入口地址免杀法:

1.用到工具:OllyDbg,PEditor

2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳.

3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后

又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址.

三.加花指令法免杀法:

1.用到工具:OllyDbg,PEditor

2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀.

3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去

填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令

的着地址.


四.加壳或加伪装壳免杀法:



1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等.

2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀.

3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的

免杀效果更佳.


五.打乱壳的头文件或壳中加花免杀法:

1.用到工具:秘密行动 ,UPX加壳工具.

2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好.

3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款

工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.


六.修改文件特征码免杀法:


1.用到工具:特征码定位器,OllyDbg

2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要

达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好.

3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程.



第四部分:快速定位与修改瑞星内存特征码

一. 瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符

串作为病毒特征码,这样对我们的定位和修改带来了方便.


二定位与修改要点:1>.首先用特征码定位器大致定位出瑞星内存特征码位置

2>.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是

字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征

码后,只要把字符串的大小写互换就能达到内存免杀效果.



第五部分:木马免杀综合方案


修改内存特征码--->1>入口点加1免杀法---> 1>加压缩壳--->1>再加壳或多重加壳

2>变化入口地址免杀法 2>加成僻壳 2>加壳的伪装.
3>加花指令法免杀法 3>打乱壳的头文件

4>修改文件特征码免杀法


注:这个方案可以任意组合各种不同的免杀方案.并达到各种不同的免杀效果.


第六部分:免杀方案实例演示部分


1.完全免杀方案一:

内存特征码修改 + 加UPX壳 + 秘密行动工具打乱UPX壳的头文件.


2.完全免杀方案二:

内存特征码修改 + 加压缩壳 + 加壳的伪装


3.完全免杀方案三:

内存特征码修改 + 修改各种杀毒软件的文件特征码 + 加压缩壳


4.完全免杀方案四:

内存特征码修改 + 加花指令 + 加压壳


5.完全变态免杀方案五:

内存特征码修改 + 加花指令 + 入口点加1 + 加压缩壳UPX + 打乱壳的头文件

还有其它免杀方案可根据第五部分任意组合

最免杀可是个力气活，我经常做的，做这东西挺辛苦的，你去学习下吧，学会了座起来也很麻烦，看你做什么了，有的杀的比较厉害，做免杀也很辛苦，一句话不好做，我过我推荐你个专门做免杀的论坛，www.f4ms.cn 挺好的，从零学起，教程挺不错的，都看了就会了，怎么样？我可以给你做，但是一次两次还行，友情制作，但是总有被杀的一天，我不能总给你做啊，所以你还是去学习下巴，自己做就不用花钱了，呵呵。

免杀： 你的技术免杀了吗？
有很多人都说要做免杀啊什么的？其实你先学习的不是免杀木马的技术，而是法律，你要先懂法律，你的木马免杀了，但是你的方法免杀了吗？是杀软杀的厉害还是法律杀的厉害？
这个我不说你也知道了吧，呵呵 我说的对吧，
不多说了。首先保证自己免杀才是硬道理。

　手工免杀分类：
　　1.文件免杀和查杀:在不运行程序的前提下使用用杀毒软件进行对该程序的扫描，所得结果。
　　2.内存的免杀和查杀:判断的方法1>运行后,用杀毒软件的内存查杀功能.
　　2>用OD载入,用杀毒软件的内存查杀功能.
　　什么叫特征码：
　　1.含意:能识别一个程序是一个病毒的一段不大于64字节的特征串.
　　2.为了减少误报率,一般杀毒软件会提取多段特征串,这时,我们往往改一处就可达到
　　免杀效果,当然有些杀毒软件要同时改几处才能免杀.(这些方法以后详细介绍)
　　3.下面用一个示意图来具体来了解一下特征码的具体概念
　　特征码的定位与原理：
　　1.特征码的查找方法:文件中的特征码被我们填入的数据（比如0）替换了，那杀毒软
　　件就不会报警，以此确定特征码的位置
　　2.特征码定位器的工作原理:原文件中部分字节替换为0，然后生成新文件，再根据杀
　　毒软件来检测这些文件的结果判断特征码的位置
　　认识特征码定位与修改的工具：
　　1.CCL(特征码定位器，由于杀软的升级，现已过时)
　　2.MYCCL(特征码定位器，由程序员Tanknight在CCL的基础上改进)
　　3.OllyDbg (特征码的修改，可用于反汇编)
　　4.C32ASM（特征码的修改，也可用于反汇编）
　　5.OC(用于计算从文件偏移地址到内存地址的小工具)
　　6.UltaEdit-32(十六进制编辑器,用于特征码的手工准确定位或修改)
　　特征码修改方法：
　　特征码修改包括文件特征码修改和内存特征码修改，因为这二种特征码的修改方法
　　是通用的。所以就对目前流行的特征码修改方法作个总节。
　　方法一:直接修改特征码的十六进制法
　　1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.
　　2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下文件能
　　否正常使用.
　　方法二:修改字符串大小写法
　　1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.
　　2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.
　　方法三:等价替换法
　　1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.
　　2.适用范围:特征码中必需有可以替换的汇编指令.比如JE,JNE 换成JMP等.
　　如果对汇编不懂的偏移可以去查看8080汇编手册.
　　方法四:指令顺序调换法
　　1.修改方法:把具有特征码的代码顺序互换一下.
　　2.适用范围:具有一定的局限性,代码互换后必须不能影响程序的正常执行
　　方法五:通用跳转法
　　1.修改方法:把特征码移到零区域(指代码的空隙处)执行后，使用jmp指令无条件调回原代码处继续执行下一条指令
　　2.适用范围:通用的改法,建议大家要掌握这种改法.
　　木马免杀的综合修改方法：
　　文件免杀方法：
　　1.加冷门壳
　　举例来说，如果说程序是一张烙饼，那壳就是包装袋，可以让你发现不了包装袋里的东西是什么。比较常见的壳一般容易被杀毒软件识别，所以加壳有时候会使用到生僻壳，就是不常用的壳。现在去买口香糖你会发现至少有两层包装，所以壳也可以加多重壳，让杀毒软件看不懂。如果你看到一个袋子上面写着干燥剂、有毒之类的字你也许就不会对他感兴趣了吧，这就是伪装壳，把一种壳伪装成其他壳，干扰杀毒软件正常的检测。
　　2.加壳改壳
　　加壳改壳是病毒免杀常用的手段之一，加壳改壳原理是将一个木马文件加上upx壳或者其它壳后用lordpe将文件入口点加1，然后将区段字符全部去掉，然后用od打开免杀的木马在入口上下100字符内修改一些代码让杀毒软件查不出来是什么壳就不知道怎么脱就可以实现免杀的目的，但这种技术只有熟悉汇编语言的人才会，这种免杀方法高效可以一口气过众多杀软也是免杀爱好者应该学会的一种技术。
　　3.加花指令
　　加花是病毒免杀常用的手段，加花的原理就是通过添加加花指令（一些垃圾指令，类型加1减1之类的无用语句）让杀毒软件检测不到特征码，干扰杀毒软件正常的检测。加花以后，一些杀毒软件就检测不出来了，但是有些比较强的杀毒软件，病毒还是会被杀的。这可以算是“免杀”技术中最初级的阶段。
　　4.改程序入口点
　　5.改木马文件特征码的5种常用方法（参见“修改内存特征码”）
　　6.还有其它的几种免杀修改技巧
　　修改内存特征码：
　　1.直接修改特征码的十六进制法
　　2.修改字符串大小写法
　　3.等价替换法
　　4.指令顺序调换法
　　5.通用跳转法
　　小结：免杀在某种程度上可以说是杀毒软件的对立面，这种技术随着杀毒软件的升级而升级，
　　从最初的表面查杀到现在的木马行为防御（瑞星），文件实时防毒（金山）等等，
　　免杀技术都将这些绕过，我们可以看到，杀软每增加一个新功能，免杀新技术就应运而生
　　用一句古语说，免杀技术是与杀毒软件相生相克的。
　　学习免杀，你将领略到汇编与反汇编的快乐天堂！
自己看，又是我。

有特征码免杀，无特征码免杀，源码免杀，看你学什么了不过推荐来黑客学习基地有大量免费有用的教程可以下载

上楼说的也对，但不全面，要修改特征码就要先学习汇编知识，系统底层知识，最好也要点编程知识，但学了也要去看动画，从基础学起。

加壳或者文件捆绑。。。。能力很强可修改特征码！

---

中阳县13867163489： 怎么做免杀啊! - ？
歧巧阿思： 一.入口点加1免杀法: 1.用到工具PEditor 2.特点:非常简单实用,但有时还会被卡巴查杀 3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可 二.变化入口地址免杀法: 1.用到工具:OllyDbg,PEditor 2.特点:操作也比较容易,而且免...

中阳县13867163489： 怎样做免杀啊! - ？
歧巧阿思： 免杀应该要用软件来做吧?往鸽子里面加一段代码,杀软就查不出了.

中阳县13867163489： 如何做免杀？
歧巧阿思： 免杀首先你先查下要做免杀的木马有没有壳,有的话最好先脱掉..然后就是是定位特征码了!你首次定位后!你一直二次定位..一直定位到最后的数小于2就可以了!!这里只是简单说下,,要学还是去下些教程来学吧!

中阳县13867163489： 如何做木马免杀 - ？
歧巧阿思： 木马免杀浓缩精华版教程 第一部分:对国内外杀毒软件分析 在讲定位内存特征码前,先要分析国内外著名杀毒软件的内存查杀特点.大家在使用木马过程都会发现,内存查杀,一般都指得被瑞星的内存查杀.瑞星的内存查杀功能是同类杀毒软...

中阳县13867163489： 如何制作免杀? - ？
歧巧阿思： 去百度上so一下 如果拟不想so我可一给你搬过来 ,如果你想学习免杀技术:1.基础的汇编语言 2.修改工具(不指那些傻瓜式软件).如: OllyDbg . PEditor. C32ASM . MYCCL复合特征码定位器.UE .OC. 资源编辑器等.还有一些查壳 脱壳软件(如...

中阳县13867163489： 如何做软件免杀? - ？
歧巧阿思： 可进行多次加壳,这样再厉害的杀毒软件也查不出来了

中阳县13867163489： 免杀是怎么做的？
歧巧阿思： 很早以前我是这么防御病毒的一个电脑1个防火墙2个杀毒软件!开一个实时监控关一个!千万别一起用!杀毒的时候2个杀毒软件分开杀 关于病毒我觉得之要防御好中毒的几率就小的很!防火墙建议:天网防火墙! 首先介绍一下大家常用的几种...

中阳县13867163489： 免杀怎么做、、、、 - ？
歧巧阿思： 做免杀主要用到的是OD(修改特征码),MYCALL(定位特征码),偏移量转换器(物理地址和内存地址的转换).加壳,可以到黑网下载一些壳,加上去,加花的话,可以自己写一些没用的废话指令加到程序中,也可以下载一些加花软件,不过这些免杀效果都不是很好.最好还是修改特征码,修改特征码的方法有上下替换法,跳转法,同义替换法等 有什么不懂可以联系我. 打了这么多字,给我加分吧...呵呵

中阳县13867163489： 请问,木马免杀怎么做 ? - ？
歧巧阿思： 免杀方法 一.文件免杀 1.加花 2.修改文件特征码 3.加壳 4.修改加壳后的文件 二.内存免杀 修改特征码 三.行为免杀 细的去这个地方去看图 加花以后一些杀毒软件就认不出了,但有些比较强悍的杀毒,比如司机大叔(卡巴斯基)可能还是能查出来...

中阳县13867163489： 怎样制作免杀？
歧巧阿思： 这个不是一两句话就说得完的 常用免杀包括 1.特征码免杀 用到工具是Myccl和C32 工具和教程百度都有 2. 给程序加花 就是把程序转为16进质然后加一些无效的特征码来打乱杀软的分析 用到工具是C32 3.加冷门壳 就是给程序化妆让杀软认不出你 现在一般加壳软件都被杀了 所以得找不被杀软知道的加壳软件 4.修改程序入口处 就是把程序都给转十六进制了 但程序的开始处不要转