【视频】国内外内存查杀特点及查杀功能实例演示!

无木马杀毒浓缩精华版教程

Part 1:国内外杀毒软件分析

在谈定位内存特征码之前,首先要分析一下国内外知名杀毒软件的内存查杀特性。大家在使用木马的过程中会发现,内存查杀一般是指瑞星的内存查杀。瑞星的内存扫描功能是同类杀毒软件中最强的。像强大的卡巴、金山等,他们的记忆查杀意义不大。会做杀毒木马的人都知道木马加壳免杀工具,只要文件不被杀,内存就不会被杀。而且江民也有内存查杀功能,不过内存查杀功能比较弱。它只针对非常有影响力的病毒程序。

Part 2: 木马避免被杀的对策

一.防止木马被查杀,准备一个不脱壳的木马是非常重要的,否则无法进行以下预防措施。

二. 那么我们要木马的内存避免被查杀。从上面的分析可以看出,目前的内存查杀,只有瑞星是最强的。其他杀毒软件内存查杀现在都不行,所以我们只针对瑞星的内存,为了对内存进行扫描查杀,必须对内存签名进行定位和修改,防止内存被查杀。

三.为傅氏其他杀毒软件,如江民、金山、诺顿、卡巴等。我们可以使用以下方法,或这些方法的组合。

1>. 入口点加1,避免被杀。

2>。更改入口地址避免查杀方法

3>。加花指令法免杀法

4>。加壳或伪装壳,避免杀法。

5>。打乱shell头文件避免查杀方法。

6>。修改文件特征码避免查杀方法。

第三部分:反病毒技术实例演示

一.入口点加1避杀方法:

1.使用的工具:

2.特点:非常简单实用,但有时会被卡巴查给干掉。

3.操作点:打开无壳木马程序,原入口点加1。

二. 修改入口地址避免查杀方法:

1.使用的工具:,

2.特点:操作也比较简单木马加壳免杀工具,反杀效果比入口点加1点好。

3.操作要点:使用OD加载无壳木马程序,将入口点的前两句移到零区执行,然后跳回到入口点下方的第三句继续执行。最后,使用将入口点更改为零区的地址。

三.添加花指令方法,免杀方法:

1.使用的工具:,

2.特点:杀毒通用性非常好。添加花命令后,基本实现了大量杀毒软件的杀毒软件。

3.操作要点:使用OD打开无壳木马程序,找到零区,填写我们准备好的花指令,然后跳转回入口点。保存后,使用它来更改入口点。用花指令的地址填充零区。

四.加壳或伪装壳避杀方法:

1. 使用的工具:一些冷门的炮弹,或者带有伪装炮弹的工具,比如木马彩衣等。

2.特点:操作简单,但避杀时间不长,而且可能被杀得很快,难逃卡巴追击。

3.操作要点:为了达到更好的反杀效果,可以使用多个加壳器,或者加壳后,伪装壳具有更好的反免效果。

五. 破坏shell头文件或者给shell加花,避免被杀:

1.使用的工具:隐蔽操作、UPX打包工具。

2.特点:操作也笨,反杀效果也不错,尤其是卡巴的反杀效果非常好。

3.操作要点:首先必须使用UPX对未加壳的木马程序进行分层,然后使用隐蔽操作工具中的功能对UPX壳的头文件进行打乱,从而实现反杀效果。

六. 修改文件特征码避杀方法:

1.使用的工具:特征码定位器,

2. 特点:操作比较复杂,需要修改一系列流程,而且只针对各个杀毒软件的杀毒。要实现多种杀毒软件的杀毒,需要修改各种杀毒软件的特征码。但防杀效果不错。

3.操作要点:定位某个杀毒软件的签名,修改一系列慢而长的进程。

Part 4:快速定位和修改瑞星内存特征码

一.瑞星内存特征码特征:由于技术原因,目前瑞星内存特征码90%以上都使用字符串作为病毒特征码,这给我们的定位和修改带来了方便。

二. 定位修改点:

1>. 先用特征码定位器粗略定位瑞星内存特征码的位置

2>。然后用UE打开,找到大概的位置,看字符串对应的是哪些方面,替换为0然后用内存扫描扫杀。在找到内存特征码之前,只要改变字符串Write和swap的大小就可以达到内存回避的效果。

第五部分:反病毒程序示例演示部分

1.完全避免杀方案一:

内存特性代码修改+UPX外壳+隐身工具破坏UPX外壳头文件。

2.完整的免费杀戮计划二:

内存特征码修改+压缩壳+壳伪装

3.完全避免杀戮方案三:

内存特征码修改+各种杀毒软件文件特征码修改+压缩壳

4.完全避免杀死程序四:

内存特征码修改+加花指令+加压壳

5.完全变态反杀方案五:

内存特征代码修改+额外花指令+入口点加1+压缩壳UPX+乱壳头文件等杀毒程序可以随意组合,达到更好的杀毒效果。