木馬免殺,在國內應該起源于05年吧.從那時單一特征碼到現在復合特征碼,殺毒軟件從無主動防御到有主動防御.免殺技術越來越難.但是萬變不離其宗--改特征碼.到現在一些輔助軟件的行為查殺.

以下講解都是以遠程控制軟件為例(這里補充一個概念,木馬的反彈技術,就是服務端主動連接客戶端.何謂主動連接呢,你只要把客戶端軟件在本機上開啟后,中馬的機子會主動連接上你的那個軟件,而不必你去找他的IP,再與他連接,這樣省去了不少麻煩)

因為現在的主動防御太強悍,尤其是卡巴,瑞星的主動防御是基于特征碼,所以很容易過.選遠控軟件的時候應該選一個本身就過殺軟的,如PCSHARE,iRaT Classic,gh0st等等,我個人覺得這幾個軟件都不錯,而且免殺容易.

行為查殺:大多數的木馬有默認的釋放路徑,而且安裝好后有幾個專用名詞,如灰鴿子安裝好后,就用"灰鴿子安裝完畢","黑防鴿子"安裝好后有"黑防專版"等字樣,這些都是作為行為查殺木馬的特征.配置時候把路徑改掉,配置好后用C32ASM把里面的字符找到后替換掉就可以了.

最關鍵的我還是認為是特征碼,也許大多數的人認為是主動防御.因為從我用馬的經驗來說,像PCshare,iRaT Classic等,只要改了特征碼后,主動照過.因為這些軟件本身就過殺軟的主防.講一下我改特征碼的經驗吧:

1,定位出特征碼后,不要急著改特征碼,應該先看看前面與后面的,我定位PCSHARE的時候定位出system.sys（小數點是被殺的，也就是特征碼），而我把小數點前面的system改成大寫后就過那款殺毒軟件了。這就說，不要定位到哪里，就改到哪里。

2,定位到CAll時，應該試試這樣：例，定位到call 12345678,這樣一個，你試試改成 call 12345677，就是減1，這種方法很有用

3.定位到PE頭時，應該PE頭移位，我不詳細講，這個網上看看方法，很簡單的，只是簡單的計算一下，移位一下。第二種方法，我聽群里朋友說，但自己還沒有試過，就是用北斗加一下殼，然后再脫殼，這樣可以免殺，

4,定位到輸入表時，也是相應的移位，這個網上方法也很多。因為是淺談嘛，所以不詳細說，只是提示一下，你在查免殺方法的同時，會學到很多

5,第五是加一減一法，如果定位到數字或者其它什么符號時，加一減一試試，這個我也試過，有時候挺有用的

6,先加一個殼，再定位特征碼，這樣能減少特征碼的修改。

7.跳轉法。找個零區域，或者自己插入一個更佳，把代碼移到零區域，這是一種常用的方法

8.對付卡巴，花指令很有效的，花指令如何寫呢，首先花指令就是一堆廢話，沒有用的，你惟一要做的就是維持堆棧平衡，不然要出錯的。

9,學習免殺應該懂一些十六進制工具，匯編工具，也應該懂一些匯編，其它改多了就好。