2024年10月灰鸽子木马怎么免杀?如何找出免杀木马
⑴灰鸽子木马怎么免杀?如何找出免杀木马
⑵免杀,也就是反病毒(AntiVirus与反间谍(AntiSpyware的对立面,英文为Anti-AntiVirus(简写VirusAV,逐字翻译为“反-反病毒”,翻译为“反杀毒技术”。免杀分为手工免杀和开源免杀。手工免杀即为特征码免杀和无特征码免杀,特征码免杀就是通过定位找到特征码然后进行修改达到免杀效果,无特征码免杀就是通过加壳加花改壳达到免杀效果,但是对于国外的杀软查杀,一般都是杀在输入表上,这种时候只能进行无特征码免杀,对输入表进行重建和隐藏,手工免杀的免杀时间不长。开源免杀就是得到木马的源代码进行修改,通常先进行定位特征码然后进行修改,当定位到字符串时只要加nop就好,但是对于查杀在查杀注入表的地方就可以进行动态调用,还有什么不明白可以加我QQ
⑶这个需要你对系统比较了解才可以,既然木马是免杀的也就是说杀毒软件是查不到的!这个时候给你一个辅助的工具XueTr.exe网上有下载!但人要求你对系统很了解否则可能会因为你的操作失误导致电脑无法启动!木马的几个特点、自启动这个几乎是木马的共同点!用此工具可能查看启动项的可疑文件一般会以蓝色标注!、可疑进程本程序可以查看到隐藏的进程!、可疑网络连接建议关闭任何可能联网的程序然后点击程序的网络看看还有那些程序在后台偷偷联网
⑷免杀就是把PE文件修改特征,让杀毒软件的病毒库认不出,我们常说的木马免杀,就是让木马或病毒通过修改躲过杀软查杀,让用户不发现。但杀软报毒不一定是病毒,像扫描工具,所有大型网站做免杀只是为了不带病毒体的文件避免杀软误杀如果你想学习免杀技术:.基础的汇编语言.修改工具(不指那些傻瓜式软件).如:OllyDbg.PEditor.CASM.MYL复合特征码定位器.UE.OC.资源器等.还有一些查壳脱壳软件(如:PEIDRL脱壳机等).以下是常用的几种免杀方法及工具:一.要使一个木马免杀,首先要准备一个不加壳的木马,这点非常重要,否则免杀操作就不能进行下去。二.然后我们要木马的内存免杀,从上面分析可以看出,目前的内存查杀,只有瑞星最强,其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀,要进行内存特征码的定位和修改,才能内存免杀。二.对符其它的杀毒软件,比如江民,金山,诺顿,卡巴.我们可以采用下面的方法,或这些方面的组合使用.》.入口点加免杀法.》.变化入口地址免杀法》.加花指令法免杀法》.加壳或加伪装壳免杀法.》.打乱壳的头文件免杀法.》.修改文件特征码免杀法.第三部分:免杀技术实例演示部分一.入口点加免杀法:.用到工具:PEditor.特点:非常简单实用,但有时还会被卡巴查杀..操作要点:用PEditor打开无壳木马程序,把原入口点加即可.二.变化入口地址免杀法:.用到工具:OllyDbg,PEditor.特点:操作也比较容易,而且免杀效果比入口点加点要佳..操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址.三.加花指令法免杀法:.用到工具:OllyDbg,PEditor.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀..操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令的着地址.四.加壳或加伪装壳免杀法:.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等..特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀..操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的免杀效果更佳.五.打乱壳的头文件或壳中加花免杀法:.用到工具:秘密行动,UPX加壳工具..特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好..操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.六.修改文件特征码免杀法:.用到工具:特征码定位器,OllyDbg.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好..操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程.第四部分:快速定位与修改瑞星内存特征码一.瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在%以上把字符串作为病毒特征码,这样对我们的定位和修改带来了方便.二定位与修改要点:》.首先用特征码定位器大致定位出瑞星内存特征码位置》.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是字符串,用替换后再用内存查杀进行查杀.直到找到内存特征码后,只要把字符串的大小写互换就能达到内存免杀效果.第五部分:木马免杀综合方案修改内存特征码---》》入口点加免杀法---》》加压缩壳---》》再加壳或多重加壳》变化入口地址免杀法》加成僻壳》加壳的伪装.》加花指令法免杀法》打乱壳的头文件》修改文件特征码免杀法注:这个方案可以任意组合各种不同的免杀方案.并达到各种不同的免杀效果.第六部分:免杀方案实例演示部分.完全免杀方案一:内存特征码修改+加UPX壳+秘密行动工具打乱UPX壳的头文件..完全免杀方案二:内存特征码修改+加压缩壳+加壳的伪装.完全免杀方案三:内存特征码修改+修改各种杀毒软件的文件特征码+加压缩壳.完全免杀方案四:内存特征码修改+加花指令+加压壳.完全变态免杀方案五:内存特征码修改+加花指令+入口点加+加压缩壳UPX+打乱壳的头文件还有其它免杀方案可根据第五部分任意组合.
⑸第一步:要想做好木马的免杀,就一定需要了解杀毒软件的特点。木马的免杀通常来说,有两种。一个是被动免杀,一个是主动免杀。所谓被动免杀,就是通过给木马加壳加花来达到免杀的效果,这种方法很简单,但是免杀效果不好,一般只能过表面免杀,而且免杀期很短。所谓主动免杀,就是通过修改木马被杀的特征码来达到免杀的效果,这种方法比较复杂,但是效果很好
⑹操作步骤:第一步:用OD载入,来到程序的入口点。第二步:把入口点的第一句PUSHEBP改成POPEBP然后保存就可以躲过瑞星的表面查杀。绝招二:快速定位与修改瑞星内存特征码原理:因为目前的内存查杀杀毒软件,只有瑞星才能威胁到我们的木马。也就是说只要搞定瑞星的内存查杀,那我们的木马在内存就畅通无阻了.但由于技术原因,目前瑞星的内存特征码在%以上把字符串作为病毒特征码,这样对我们的定位和修改带来了方便.操作步骤:第一步:首先用特征码定位器大致定位出瑞星内存特征码位置.第二步:然后用UE打开,找到这个大致位置,看看,哪些方面对应的是字符串,用替换后再用内存查杀进行查杀.直到找到内存特征码后,只要把字符串的大小写互换就能达到内存免杀效果.绝招三:如何快速躲过诺顿的查杀诺顿的查杀特点:大家有时候会发现,通过改特征码,加花指令,改内存特征码,等等,卡巴,江民,金山,瑞星都过了,但无论如何都过不了诺顿,这时候是不是感到很纳闷.其实诺顿特征码的定义和其它杀毒软件不一样,其它杀毒软件的特征码都在代码段而只有它把特征码定义在PE头文件里面.而在头文件里面,一般都用字符串作为病毒特征码,知道了原理,就有下面的二种方法来应付.方法一:只要把头文件的字符串的大小字互换一下就可以搞定了.方法二:有二款压缩软件WinUpack和北斗星,经过他们的压缩,会把我们的木马程序的头文件改的面目全非.所以把我们的木马做好其它的杀毒软件的免杀后,再用这二款压缩软件的压缩就可以躲过诺顿的查杀.绝招四:一个不太通用的免杀方法免杀方法:把入口点第三句开始的几行(字节内)汇编代码移到零区域去执行,也达到一定的免杀效果.
⑺免杀——顾名思义就是能避免被杀。免杀木马就是能不让杀软识别为恶意代码的木马。木马经过加壳后(可能不止一次,加壳算法也可能不止一种能不被某些(可能所有安全软件(靠特征码分析发现,就成了免杀木马。不过这种免杀只是相对的,如果安全厂家得到恶意代码,就会分析,然后更新特征库(病毒库就可以查杀。如果你用的是HIPS,那就基本不怕,因为不管恶意代码如何隐藏,最后都会露出真面目——调用相关的函数(来攻击,然后被HIPS拦截。但是如果恶意代码利用了系统漏洞(例如利用系统对特殊数据错误分析所造成溢出等等来进行攻击,那就麻烦了(*^__^*)嘻嘻……如果你遇到了很新的木马或者传播不广的木马,杀软可能查不出(因为还没有对应的特征码。为了解决这种情况,各安全厂家都在想办法,常见的有启发式扫描和智能HIPS。(貌似卡巴斯基实验室有一种新的东东,能更快的找到恶意代码的源头,好像会在卡巴里用
⑻杀毒软件查杀病毒或者木马,是要取该程序的一个特征码,然后依靠比较这个特征码来判断是不是病毒或者木马.木马免杀就是通过低层反汇编语言,把这个特征码进行修改.让杀毒软件无法判断
⑼怎样知道电脑中了免杀木马病毒
⑽可以参考下面:一直以来,检测电脑是否被病毒或木马感染可以依赖于杀毒软件。当一些病毒或木马经过伪装可以摆脱杀毒软件的查杀之后,杀毒软件对一些善于伪装的病毒失去了检测能力。对于这部分通过伪装而摆脱杀毒软件查杀的病毒,我们称为“免杀病毒”。由于经过伪装的病毒比其他病毒更具破坏力,如何查杀伪装的病毒或木马成为困扰普通用户的一大难题,因为一些电脑知识丰富的电脑高手不用杀毒软件都可以查杀伪装的病毒或木马。其实,伪装再巧妙的病毒也会有漏洞,只要方法得当,一样可以检测精心化装的病毒或木马。病毒常用的伪装技术病毒或木马伪装的目的,就是为了摆脱杀毒软件的监控,避免病毒或木马程序被查杀。目前,%的杀毒软件都是基于特征码匹配的查杀模式,通过分析病毒的特征码来判断病毒。病毒的伪装技术,就是想尽一切办法摆脱杀毒软件的查杀,常用的方法有以下几种:、加花指令:加花是病毒常用的伪装手段,加花的原理就是通过添加加花指令让杀毒软件检测不到特征码,干扰杀毒软件正常的检测。而加花指令,就是一些无用的垃圾代码,类型加减之类的无用语句。添加了加花指令并不影响病毒或木马软件的正常工作,只是让杀毒软件无法查杀病毒或木马程序而已,这也就是通常所说的免杀技术。、加壳:加壳是目前最流行的病毒伪装手段,也是一种非常有效的病毒伪装技术。举个例子来说,如果说病毒程序是肉馅,而壳是水饺皮,加了壳的病毒如同包好的水饺一样,很难知道里面是什么馅的。对病毒程序加壳之后,杀毒软件很难判断壳里面的程序是否合法,这样就达到了干扰杀毒软件检测的目的。为了将病毒程序隐蔽的更好,一些病毒作者通常会将病毒程序进行多次加壳,最外面的一层壳,通常是一个诸如“千千静听”这样的合法程序。披上了合法的外衣之后,病毒程序就可以堂而皇之的进入用户的电脑并伺机破坏。要想找到病毒源程序,需要脱壳,而脱壳技术是很多用户并不了解的,为此,加壳是躲避杀毒软件查杀的最有效手段之一。、修改特征码:杀毒软件之所以能够查杀病毒,是因为病毒库中已经搜集了病毒的特征码。在病毒程序中,特征码的位置是固定的,不同的病毒,其特征码的位置也是不同的,杀毒软件的病毒库中,记录了每款病毒特征码的位置。为此,一些病毒程序作者通常会修改特征码来躲避杀毒软件的查杀。这就是目前最流行的病毒伪装技术,有些病毒可能同时使用多种病毒伪装技术,以干扰杀毒软件对病毒的查杀。了解了病毒的常用伪装技术,我们就可以在电脑中查找免杀病毒的踪迹。查找免杀病毒的踪迹病毒程序经过伪装之后虽然可以摆脱杀毒软件的查杀,但这并不意味着病毒程序不会在电脑中也隐藏起来。伪装之后的病毒仍然是一个程序,只要运行就会留下踪迹。免杀病毒通常会在以下几个地方留下活动的踪迹:、进程:任何一款软件只要在电脑中运行,一定会占用一个系统进程。既便病毒程序经过了伪装,只要细心查找,仍旧可以找到病毒的蛛丝马迹。、启动项:经过精心伪装的病毒在杀毒软件的严密监控之下进入了用户的电脑,要想搞破坏,必须运行,而且要随操作系统的启动而自动运行。为此,启动项中肯定会留下免杀病毒的足迹。以Windows操作系统为例,注册表中有启动项,开始菜单的“启动”程序组中也有启动,开机的autoexec.bat中也包括启动程序选项。、网络端口占用:目前所有的免杀病毒或木马都是网络型病毒,这些病毒程序一旦工作,就会通过网络与外界联系,自然会占用一个网络端口、生成文件:免杀病毒是一个程序,要想工作,如同其他应用软件一样需要安装。为此,只要用户的计算机感染了免杀病毒,一定会在硬盘中生成文件。不难看出,免杀病毒的精心伪装可以骗过杀毒软件的监控,但会在电脑中留下多处痕迹。在查杀时,我们只要根据病毒在电脑中留下的踪迹,可以非常容易的找到病毒。追寻踪迹揪出免杀病毒找到了免杀病毒的踪迹,相当于揪住了病毒的小尾巴,这样,我们可以非常顺利的揪出隐藏在系统中的免杀病毒,然后将其删除就可以了。由于免杀病毒也有一定的隐蔽性,要想准确的找到免杀病毒的踪迹,还有一定的技巧。、准确分析系统进程:很多免杀病毒除了躲避杀毒软件的查杀之外,还有防范人工查杀的“绝技”。由于病毒运行需要产生一个系统进程,很多免杀病毒会使用一些隐藏方法。一些免杀病毒会生成explore.exe进程,与正常的系统进程explorer.exe进程仅有一字之差;也有一些病毒将诸如svchost.exe文件删除,自己生成名字为svchost.exe文件,病毒的进程在任务管理器中自然是svchost.exe系统进程,事实上这个进程是病毒程序。为了准确的分析系统当前的进程,建议用户不要通过任务管理器查看进程,而是使用第三方软件查看系统进程,“瑞星卡卡安全助手”是一款不错的软件。通过“瑞星卡卡安全助手”查看系统进程,可以看到进程对应的文件,更重要的是该软件还具备查看每一进程调用了哪些文件的功能。一旦发现可疑程序,有可能是免杀病毒的源文件,点击该程序,如果卡卡安全助手没有对该程序的解释,则证明该程序是病毒源程序。、查看各项启动选项:由于启动项在操作系统中有多处位置,普通用户很难一一找到,为此,我们可以借助“瑞星卡卡安全助手”软件查看各项启动选项。在“系统启动项管理”中,我们可以一一查看,卡卡安全助手可以发现可疑的程序,帮助用户寻找免杀病毒的源文件。、查看网络端口占用:尽管stat–an命令可以查看当前开放了多少个端口,可是无法判断哪个程序占用了哪一端口。借助“瑞星卡卡安全助手”或“奇虎安全卫士”这样的第三方工具软件,可以非常容易的查看到每个应用程序占用的网络端口。可疑的程序,既可以初步判断为病毒源文件。在怀疑机器已经被免杀型病毒感染时,最好对进程、网络端口占用情况和启动选项做详细的对比,而不是单一的查看某一个选项。对三个选项进行综合查看后,就可以轻松揪出电脑中的免杀病毒。总结:免杀型的病毒虽然经过了精心且迷惑性非常强的伪装,但只要运行就会在电脑中留下蛛丝马迹。了解了免杀病毒的常用伪装手法和特点之后,层层剖析,仍旧可以揪出隐蔽在电脑中的免杀病毒