n年四季 - 2006-7-29 11:44:00
从杀毒软件的查杀模式来看,做免杀是非常被动的。
查杀模式
1. 文件查杀
2. 内存查杀
3. 行为杀毒
1 点 和 2 点
病毒特征代码是杀毒软件定的,我们要修改首先要查找它们的位置,
然后才能修改很被动。
3 点
病毒的行为也是杀毒软件来制定的,我们要先测试到底是木马的什么进程,
或者写入了注册表什么项目,或者是添加了什么服务,或者是文件,
引起杀毒软件查杀,然后修改。
因为我们做免杀的人员,一般都是通过反汇编来来做免杀的,我们是修改者。
所以很多木马是不方便修改这些的,要修改只有木马的作者才可以做到,他们
是生产者。
综合上面的情况,我认为最好的方式是自己写木马!
但是自己写木马难度比较大,目前可能性大一点的就是使用delphi,
因为delphi编写的木马比较多,网上可以找到的木马原代码也比较多,
写得也很好。
我只要找一个自己喜欢的木马原代码编译一下,就可以使用了,
而且做免杀非常容易。
1.直接加asm的花指令
比如:
begin
asm //改成卡吧不能特征码
nop
push 0
end;
2.加DELPHI 花指令
见:http://www.programmerlife.com 程序.人生
3.修改一些常常被杀毒软件作为特征代码的ascii
4.
修改函数的执行次序,或者添加单元
5.修改木马的进程名、释放目录、启动项目(有了原代码这些你可以随便改)
最后说一下,如果你觉得这个木马还不合你口味,你可以自己修改它的功能。
删除你不要用到的代码,也可以添加你需要的代码进来,
这些 delphi的 代码一般在网上都可以找到,不需要你来写,总之像搭积木一样,把木马
搭到你满意为止。
如果你有上进心,觉得别人的代码不好,你也可以自己写代码,当然这就已经
超出了我们做免杀的界限,那样你就是生产者,而不是修改者。
附件: 7179392006729113622.jpg
查杀模式
1. 文件查杀
2. 内存查杀
3. 行为杀毒
1 点 和 2 点
病毒特征代码是杀毒软件定的,我们要修改首先要查找它们的位置,
然后才能修改很被动。
3 点
病毒的行为也是杀毒软件来制定的,我们要先测试到底是木马的什么进程,
或者写入了注册表什么项目,或者是添加了什么服务,或者是文件,
引起杀毒软件查杀,然后修改。
因为我们做免杀的人员,一般都是通过反汇编来来做免杀的,我们是修改者。
所以很多木马是不方便修改这些的,要修改只有木马的作者才可以做到,他们
是生产者。
综合上面的情况,我认为最好的方式是自己写木马!
但是自己写木马难度比较大,目前可能性大一点的就是使用delphi,
因为delphi编写的木马比较多,网上可以找到的木马原代码也比较多,
写得也很好。
我只要找一个自己喜欢的木马原代码编译一下,就可以使用了,
而且做免杀非常容易。
1.直接加asm的花指令
比如:
begin
asm //改成卡吧不能特征码
nop
push 0
end;
2.加DELPHI 花指令
见:http://www.programmerlife.com 程序.人生
3.修改一些常常被杀毒软件作为特征代码的ascii
4.
修改函数的执行次序,或者添加单元
5.修改木马的进程名、释放目录、启动项目(有了原代码这些你可以随便改)
最后说一下,如果你觉得这个木马还不合你口味,你可以自己修改它的功能。
删除你不要用到的代码,也可以添加你需要的代码进来,
这些 delphi的 代码一般在网上都可以找到,不需要你来写,总之像搭积木一样,把木马
搭到你满意为止。
如果你有上进心,觉得别人的代码不好,你也可以自己写代码,当然这就已经
超出了我们做免杀的界限,那样你就是生产者,而不是修改者。
附件: 7179392006729113622.jpg