一:殺毒軟件的查殺模式
殺毒軟件的查殺模式:(1)文件查殺 (2)內存查殺 (3)行爲殺毒
文件查殺:殺毒軟件對磁盤中的文件進行靜態掃描,一旦發現文件帶有其病毒庫中的病毒特徵代碼
就會查殺。
內存查殺:殺毒軟件把病毒特徵代碼釋放到內存中,然後與內存中的文件進行對比,發現有文件中
帶有病毒特徵代碼就會查殺。
行爲殺毒:殺毒軟件用木馬運行後的一些特定的行爲作爲判斷是否爲木馬的依據。
二:PE基礎知識
簡單的說:PE 的意思就是 Portable Executable(可移植的執行體)。是win32位程序的格式。
三:木馬免殺技術大盤點
木馬的免殺主要還是針對文件免殺和內存免殺。
一般的文件免殺有:加殼免殺 修改殼程序免殺 修改文件特徵代碼免殺 加花指令免殺
內存免殺:主要是過瑞星的內存查殺。修改內存特徵代碼即可。
現在介紹下各種免殺的做法及適用範圍。
1.加殼免殺
大家應該都會,建議你選擇一些生僻殼、強殼、新殼,或者加多重殼。這種免殺的很適合新手朋友
使用。簡單方便。但這種免殺的時間長不了。
2.修改殼程序免殺
通過加花指令的方法把殼僞裝成其它殼或者無殼程序。(不會花指令的可以參考累了的教程)
3.修改文件特徵代碼免殺
此方法的針對性是非常強的,就是說一般情況下你是修改的什麼殺毒軟件的特徵代碼,那麼就只可以在
這種殺毒軟件下免殺。
主要方法是:直接修改法 和 跳轉修改法。其中跳轉修改法可以用一些軟件來做到。
比如:vmprotect ,用工具實現跳轉修改法。
4.加花指令免殺
此方法通用性強,而且效果好。主要有兩種:加區加花 和 去頭加花。
5.修改內存特徵代碼
主要是過瑞星的內存查殺。修改內存特徵代碼即可。