一:杀毒软件的查杀模式
杀毒软件的查杀模式:(1)文件查杀 (2)内存查杀 (3)行为杀毒
文件查杀:杀毒软件对磁盘中的文件进行静态扫描,一旦发现文件带有其病毒库中的病毒特征代码
就会查杀。
内存查杀:杀毒软件把病毒特征代码释放到内存中,然后与内存中的文件进行对比,发现有文件中
带有病毒特征代码就会查杀。
行为杀毒:杀毒软件用木马运行后的一些特定的行为作为判断是否为木马的依据。
二:PE基础知识
简单的说:PE 的意思就是 Portable Executable(可移植的执行体)。是win32位程序的格式。
三:木马免杀技术大盘点
木马的免杀主要还是针对文件免杀和内存免杀。
一般的文件免杀有:加壳免杀 修改壳程序免杀 修改文件特征代码免杀 加花指令免杀
内存免杀:主要是过瑞星的内存查杀。修改内存特征代码即可。
现在介绍下各种免杀的做法及适用范围。
1.加壳免杀
大家应该都会,建议你选择一些生僻壳、强壳、新壳,或者加多重壳。这种免杀的很适合新手朋友
使用。简单方便。但这种免杀的时间长不了。
2.修改壳程序免杀
通过加花指令的方法把壳伪装成其它壳或者无壳程序。(不会花指令的可以参考累了的教程)
3.修改文件特征代码免杀
此方法的针对性是非常强的,就是说一般情况下你是修改的什么杀毒软件的特征代码,那么就只可以在
这种杀毒软件下免杀。
主要方法是:直接修改法 和 跳转修改法。其中跳转修改法可以用一些软件来做到。
比如:vmprotect ,用工具实现跳转修改法。
4.加花指令免杀
此方法通用性强,而且效果好。主要有两种:加区加花 和 去头加花。
5.修改内存特征代码
主要是过瑞星的内存查杀。修改内存特征代码即可。