木馬免殺,在國內(nèi)應(yīng)該起源于05年吧.從那時單一特征碼到現(xiàn)在復(fù)合特征碼,殺毒軟件從無主動防御到有主動防御.免殺技術(shù)越來越難.但是萬變不離其宗--改特征碼.到現(xiàn)在一些輔助軟件的行為查殺.

以下講解都是以遠程控制軟件為例(這里補充一個概念,木馬的反彈技術(shù),就是服務(wù)端主動連接客戶端.何謂主動連接呢,你只要把客戶端軟件在本機上開啟后,中馬的機子會主動連接上你的那個軟件,而不必你去找他的IP,再與他連接,這樣省去了不少麻煩)

因為現(xiàn)在的主動防御太強悍,尤其是卡巴,瑞星的主動防御是基于特征碼,所以很容易過.選遠控軟件的時候應(yīng)該選一個本身就過殺軟的,如PCSHARE,iRaT Classic,gh0st等等,我個人覺得這幾個軟件都不錯,而且免殺容易.

行為查殺:大多數(shù)的木馬有默認(rèn)的釋放路徑,而且安裝好后有幾個專用名詞,如灰鴿子安裝好后,就用"灰鴿子安裝完畢","黑防鴿子"安裝好后有"黑防專版"等字樣,這些都是作為行為查殺木馬的特征.配置時候把路徑改掉,配置好后用C32ASM把里面的字符找到后替換掉就可以了.

最關(guān)鍵的我還是認(rèn)為是特征碼,也許大多數(shù)的人認(rèn)為是主動防御.因為從我用馬的經(jīng)驗來說,像PCshare,iRaT Classic等,只要改了特征碼后,主動照過.因為這些軟件本身就過殺軟的主防.講一下我改特征碼的經(jīng)驗吧:

1,定位出特征碼后,不要急著改特征碼,應(yīng)該先看看前面與后面的,我定位PCSHARE的時候定位出system.sys（小數(shù)點是被殺的，也就是特征碼），而我把小數(shù)點前面的system改成大寫后就過那款殺毒軟件了。這就說，不要定位到哪里，就改到哪里。

2,定位到CAll時，應(yīng)該試試這樣：例，定位到call 12345678,這樣一個，你試試改成 call 12345677，就是減1，這種方法很有用

3.定位到PE頭時，應(yīng)該PE頭移位，我不詳細(xì)講，這個網(wǎng)上看看方法，很簡單的，只是簡單的計算一下，移位一下。第二種方法，我聽群里朋友說，但自己還沒有試過，就是用北斗加一下殼，然后再脫殼，這樣可以免殺，

4,定位到輸入表時，也是相應(yīng)的移位，這個網(wǎng)上方法也很多。因為是淺談嘛，所以不詳細(xì)說，只是提示一下，你在查免殺方法的同時，會學(xué)到很多

5,第五是加一減一法，如果定位到數(shù)字或者其它什么符號時，加一減一試試，這個我也試過，有時候挺有用的

6,先加一個殼，再定位特征碼，這樣能減少特征碼的修改。

7.跳轉(zhuǎn)法。找個零區(qū)域，或者自己插入一個更佳，把代碼移到零區(qū)域，這是一種常用的方法

8.對付卡巴，花指令很有效的，花指令如何寫呢，首先花指令就是一堆廢話，沒有用的，你惟一要做的就是維持堆棧平衡，不然要出錯的。

9,學(xué)習(xí)免殺應(yīng)該懂一些十六進制工具，匯編工具，也應(yīng)該懂一些匯編，其它改多了就好。