简单的免杀方法(基本知识)

一、免杀的概念

二、免杀系统搭建

三、免杀工具介绍

1、myccl

2、C32asm

3、OD

4、LordPE

5、ImportREC

6、VC++6.0/visual studio

7、数字签名

四、关于杀软排名不分前后

1、360。

2、金山毒霸

3、江民

4、瑞星

5、安天防线

6、卡巴斯基

7、NOD32

8、诺顿

9、小红伞，木伞

10、BD

五、杀软的查杀方法

1、最基础的查杀

2.1、静态启发式

2.2、动态启发式

3、HIPS

4、云安全

六、免杀方面的术语

1、API

2、花指令

3、输入表

4、区段

5、加壳

6、反启发

7、隐藏输入表

一、免杀的概念

什么是免杀免杀，也就是反病毒（AntiVirus）与反间谍（AntiSpyware）的对立面，英文为Anti -AntiVirus（简写Virus AV），逐字翻译为“ 反-反病毒”，翻译为“反杀毒技术”。通俗点讲，也就是一个被杀软报毒的PE文件，经过一系列处理后，使杀软不认为他是一个病毒或木马。

那么，啥是PE文件，PE文件指的是windo ws操作系统上的程序文件，常见的有exe,dll,sys,com的后缀的文件，PE文件都有PE头和MZ标识。

还有就是现在的三种主流免杀方式啊，分别是特征码免杀，非特征码免杀和源码免杀。

现在特征码免杀是在逐渐衰退，因为现在的杀软主要倾向了HIPS（主动防御）以及启发式扫描，特征码修改和定位是越来越难了。（个人认为特征码定位会很蛋疼。。。）那么无特征码免杀更是难上加难，其实就是盲免。目前只有少数牛人在玩了源码免杀，一个当今非常好的免杀方法。啥？360你盯上我的心API了？我动态调用啥？小红伞你盯上我代码了？，我源码无破损修改。啥？NOD32干扰太强你定位不出？直接用C32先找出大致范围，如输入表，代码段等等，我再在源码改（意思就是源码免杀基本能解决所以免杀难题）。

二、免杀系统搭建

做免杀如果我们做一款远控的免杀，咱们做好了之后是需要进行测试的，那一些对系统有害的需要测试咋办呢，那就得用到虚拟机或影子系统ps:由于这些都是基本的一些工具，我也就不再多讲。

当然，做免杀是需要一个免杀工具包的，小七免杀工具包精简版2.0就很不错，里面的东西都是干净的，但是原始下载地址栏找不到，百度上有很多，由于安全性未知，我就不发链接了，但他大小应该是在350mb左右。

三、免杀工具介绍

小七免杀工具包里有很多的工具我就列出其中的一些常用的排名不分前后

1、myccl

Myccl作为05出品的一款定位工具，到现在还是独领风骚，实用性五星，稳定性五星。

2、C32asm

一款非常好的静态反汇编工具一般人免杀定位出特征码后都会先到C32里面去改，如果不行就载入od。当然，源码免杀就直接看定位出的东西在源码所对应的代码修改就ok。

3、OD

作为一款神器，OD有很多作用，破解，免杀啊，都需要它，做免杀不必要学汇编，通读几遍80×86就差不多了

4、LordPE

LordPE，是一款功能强大的PE文件分析、修改、脱壳软件。LordPE是查看PE格式文件信息的首选工具，并且可以修改相关信息。我没有用LPE脱过壳，LPE比较常用的功能就是修改地址，查看区段以及区段入口地址，查看和修改输入表以及计算位置，重建PE功能有时会用到

5、ImportREC

一款傻瓜式的输入表重建工具，用于做预处理效果很好的

6、VC++6.0/visual studio

不解释

7、数字签名

作用就是给软件加上一个数字签名，对启发式和主动有一定效果

四、关于杀软排名不分前后

1、360。

360作为中国杀软上的后期之秀，占中国杀软很大部分的市场，当时09，10年的360是非常弱的，定位根本无干扰，但现在的360查杀能力不在话中，但误报率过高，现在5引擎，小红伞，BD，QVM其中BD，木伞都是可以定位的，但QVM是一个伪启发，但是QVM07可以用定位，一般QVM都是杀输入表，杀壳，入口点，资源这些。

HEUR/Malware.QVM06.Gen   一般情况下加数字签名可过
HEUR/Malware.QVM07.Gen   一般情况下换资源
HEUR/Malware.QVM13.Gen   加壳了
HEUR/Malware.QVM19.Gen   杀壳（lzz221089提供）
HEUR/Malware.QVM20.Gen   改变了入口点
HEUR/Malware.QVM27.Gen   输入表
HEUR/Malware.QVM18.Gen   加花
HEUR/Malware.QVM05.Gen  加资源，改入口点

QVM07加资源一般加到2M会报QVM06
再加数字签名，然后再慢慢减资源，这个方法对大部分木马有效果。
QVM06 加数字签名
QVM12杀壳
QVM13杀壳
QVM27杀输入表
QVM19 加aspack
QVM20就加大体积/加aspack压缩

2、金山毒霸

金山走的是云安全，云防护，云鉴定这些云安全路线，所以，断了网后金山就是个废，原来有大牛这样写过马的，先运行时断开网络，然后释放出马，再运行，运行成功后就连接网络，这样是可以使免杀效果更好一些。现在在天朝大部分的人都用的360和金山

3、江民

江民定位就OK，主要是对特征码字符串和资源进行查杀(具体方法已经记录到私密博客)。

4、瑞星

瑞星曾经是很霸气的，现在低调了许多，主要是主动防御拦截(具体方法已经记录到私密博客)

5、安天防线

安天防线作为一款不是杀软的杀软，现在是纯特征码扫描。

6、卡巴斯基

非常变态的一款杀软，误报低，查杀率高，特征码+输入表变态查杀+静动态启发式+强力的虚拟机脱壳技术。人类已经无法阻止卡巴斯基的输入表查杀了，在反汇编下，你无论对输入表怎么重建，移位都不行，需要进行手动异或加密。

7、NOD32

我个人认为的最好的杀软，NOD32主要盯的是资源和输入表，他的启发式是相当不赖的，而且NOD32抗定位干扰非常强，一般是定位的不出特征码了，需要手工一段一段的找特征码大致所在区域，再修改，这样是非常耗时的，而且一上报，就完蛋。所以一般的不会做NOD32的免杀

8、诺顿

诺顿不是NOD32，诺顿的主动防御貌似的是很牛B，但表面查杀一般(具体方法已经记录到私密博客)。

9、小红伞，木伞

小红伞的特征码定位抗干扰技术比较好。还有小红伞的启发式也比较不错(具体方法已经记录到私密博客）。

10、BD

比特焚德，以全球最大的病毒库著名，HIPS+特征码+虚拟机+高启发，还是不错的

五、杀软的查杀方法

1、最基础的查杀

特征码查杀你说杀软要认为这个东西是个木马得有个判断条件吧，总不可能随便给你杀了。特征码就是最基础的查杀方式。特征码是什么？特征码就是病毒分析狮从病毒中提取的不大众化的不大于64字节的特征串。通过判断是否有这个特征字符串从而确定是否为病毒。通常为了减少误报，一个病毒会取数个特征码。

2.1、静态启发式

静态启发式即对整个软件进行分析。首先，杀软会规定规则，这个问题规则就是法律一样的，如果静态启发式分析出了杀软中的规定的法律，那么他的怀疑等级就会提高，跟起诉一个犯罪嫌疑人的证据一样，证据越多，那个人的可疑性就越高，到一定程度，就成了做坏事的人

2.2、动态启发式

动态启发式又叫虚拟机查杀技术，会模拟出一个近似于windows的系统，但没有我们使用的windows那么全健，杀软会把病毒丢进他的虚拟机里，进行操作监视，如果操作越可疑，就越容易被定为病毒这段话为了大家能看懂，我省去了一些专业术语

3、HIPS

HIPS可以说是主动防御，何为主动防御，一个马儿如果通过了表面查杀，那么主动防御就是最后一道防线，既然是最后一道防线，做得肯定要很牛咯。HIPS主要是对一个软件运行时的进行检测，如果发现软件有注册表操作，加载驱动这些一般程序不应操作的操作时，那么他就会以他R0级的优势，拦截掉，并将程序暂停运行，也就是挂起，询问用户是否进行该操作。

4、云安全

云查杀。这个是这样的。首先，杀软那里有一套规则，如果一个软件触犯了这些规则，则杀软会上报至云服务器，到了云服务器后，则会对上报文件进行鉴定，可能会是人工鉴定，这样的效果比杀软查杀效果要好得多。那么如果分析出这个程序是病毒，那么就会将这个程序的MD5发生至云中心，用户在联网状态下杀毒的话，就与云中心核对MD5，如果对上了，无条件认定为病毒

六、免杀方面的术语

1、API

Windows API是一套用来控制Windows的各个部件的外观和行为的预先定义的Windows函数。用户的每个动作都会引发一个或几个函数的运行以告诉Windows发生了什么。API这个，我也说不清。我认为是这样的，程序的操作都会有一个API，有些操作产生的API则是可疑的，如，写注册表这一类的api就会被杀软所盯上，报为病毒。

2、花指令

花指令是一段无用代码，用来迷惑杀毒软件。就好像男扮女装，用来伪装自己。

3、输入表

输入表是每个程序必备的，里面有程序所调用的大小姐函数，而一些可疑操作的函数则会引起杀软注意。

4、区段

区段是程序保存数据的地方，不同的区段保存了不同的东西，大家可以用LPE打开一个程序，找到区段选项，就可以看到区段了。

5、加壳

加壳分为加压缩壳和保护壳〔加密壳〕压缩壳是目的是使程序变小，但无保护程序防止被反破解的作用。保护壳恰恰相反，保护壳的目的是使程序尽量防止被反汇报，但好的保护壳会议给程序植入大量垃圾代码，以干扰破解版者，所以程序会变大。

6、反启发

即加入对杀软的启发式干扰的代码

7、隐藏输入表

即让输入表无法在c32中出现。