木马免杀技术.doc

《木马免杀技术.doc》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、木马免杀技术一、杀毒软件的杳杀模式杀毒软件的杳杀模式分三种1.文件查杀2•内存查杀3.行为杳杀这三种是目前杀毒软件常用的杀毒模式。所谓的文件杏杀就是杀毒软件对磁盘屮的文件进行静态扫描，一旦发现文件带有病毒库屮的病毒特征代码就给予查杀。内存查杀是杀毒软件把病毒特征代码释放到内存中，然后与内存屮的文件进行比对，发现有文件屮带有病毒特征代码就给予查杀。现在最厉害的内存查杀当然是瑞星了，其他杀毒软件也有内存查杀但比不上瑞星的厉害。行为杀毒是杀毒软件用木马运行后的一些特定的行为作为判断是否为木马的依据。比如：啊拉QQ大盗在运行后会增加一个名为NTdhcp.

2、exe的进程，还有彩虫「•桥的服务端在运行后会在注册表添加名为HKLMSOFTWAR巳Microsoft'ActiveSetupInstalledComponents{9B71D88C-C598-4935-C5D1-43AA4DB90836}stubpath的键值。行为杀毒的典型杀毒软件一绿鹰PC力能精灵。二•根据杀毒软件的杏杀模式总结出免杀方法主要针对文件的文件查杀和内存查杀1•文件杳杀A.加壳免杀B.修改壳程序免杀C.修改文件特征代码免杀D.加花指令免杀2内存杳杀A.修改内存特征代码B.阻上杀毒软件扫描内存A.加壳免杀建议你选择一些生

3、僻壳、井@冷(12)驴牵好吮仙嘀乜牵馍钞!氤奔测怀?可能很快被杀,不过和加密工具配合使用一些杀毒软件是很容易过的但瑞星的内存不过。B.修改壳程序免杀主要有两种：一是通过加花指令的方法把売伪装成其它壳或者无壳程序。C.修改文件特征代码免杀，此方法的针对性是非常强的，就是说一般情况下你是修改的什么杀毒软件的特征代码，那么就只可以在这种杀毒软件下免杀。以前常用的工具有CCL特征码定位器，不过现在用起来不是那么方便了，比如黑防鸽了他有多出特征代码，给新手学习定位增加了一定的难度，现在主要推荐的是MYCCL特征码定位器，个人感觉定位速度快，准确率高，尤其对

4、那些有多处特征码的定位。如黑防鸽了的卡巴文件特征代码：特征码物理地址/物理长度如下：［特征］000A0938_00000002［特征］000A0B26_00000002［特征］000A0E48_00000002［特征］000A1300_00000002［特征］000A14F4_00000002［特征］000A1520_00000003特征码分布示意图：[-][-][][][MM]主要方法是：1•修改字符串大小写法1.直接修改特征码的十六进制法2.指令顺序调换法3.通用跳转法5•等价替换法A.加花指令免杀此方法通用性强，而且效果好。主要有两种：加区

5、加花和去头加花。修改内存特征代码A.目前内存杀毒的杀毒软件强的并不多。比如：KV虽然有内存杀毒但是它的内存病毒库是非常弱的，基本没有什么东西。卡巴斯基的内存杀毒其实不是真正意义上的内存杀毒，木马在卡巴斯基下一但文件免杀，内存也就免杀了。内存杀毒强的我个人认为还是我们国内的杀毒软件瑞星。修改内存特征代码对于初学免杀的朋友来说，难点应该是在内存特征代码定位上。以前常用的工具有CCL特征码定位器，不过现在用起来不是那么方便了，比如黑防鸽了他有多出特征代码，给新手学习定位增加了一定的难度，现在主要推荐的是MYCCL特征码定位器，个人感觉定位速度快，准确率

6、高，尤其对那些有多处特征码的定位。至于修改内存特征码的方法有跳转修改法和岚接修改法。B.阻止杀毒软件扫描内存，现在常用的T具是免疫007,不过效果不算太完美。这些是现在较常用的免杀方法，当然还有其他的方法后续吧。