免杀学习心得

以下是本人看了许多教程和免杀文章整理总结的一些关于免杀的心得，如有误，还请“大侠”们指出！

【加壳免杀】

直接加壳做免杀，一般不提倡！此法就算是“生僻壳”，也只能免杀几天就很快被卡巴查杀！而且直接加壳做免杀会使服务端增大！且不能压缩！（加壳免杀只能做到表面免杀！一般与花指令、改入口点、改特征码结合使用效果较佳！）


【加花指令免杀】

方法：用OD加载无壳服务端，记下入口点的内存地址，找零区域，记下零区域的起始内存地址，从这个零区域的起始地址开始一句一句的写入花指令代码，保存生成新服务端，用PEditor加载生成的新服务端，把原来的入口地址改成刚才记下的零区域的起始内存地址，应用更改。
(注意收集花指令，教程“打造自己的免杀花指令”下载链接）
http://www.hack58.com/soft/search.asp?act=topic&keyword=加花 (广告地址已去)


【改入口点免杀】

免杀原理：杀毒软件一般都检测病毒还原之后的代码，而且一般都把代码开始前40个字节作为特征值。因此，入口点改变了，说明也就破坏的特征码，这样就达到免杀的效果！

方法一：用PEditor加载无壳服务端，在入口点地址数后+1，应用更改。

评论:一般杀毒软件都能躲过,但通常还是被卡巴查杀，同时也不能过内存查杀,但结合加花指令,加壳等等方法,效果将非常不错.

方法二：变换入口地址法免杀：用OD加载无壳服务端，把入口点的开始两句代码(一般为push ebp   mov ebp,esp)移到零区域，并记下那个零区域的内存地址，在后面加一句跳转命令:JMP 到第三条指令的地址，然后修正并保存成新服务端，用PEditor打开生成的新服务端，把入口点改成刚才在零区域记下的内存地址。

评论:一般用此方法卡巴查不出来！以后还可以结合加花指令、加壳、改特征码来做完美免杀效果。


【改文件特征码免杀】

方法一：用CLL准确定位文件和内存特怔码，用OD打开文件，找到特怔码所在位置，把特征码移到零区域,然后用JMP跳回来执行。

方法二：用CLL准确定位文件和内存特怔码，用UE打开文件，把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了。（注意：特征码所对应的内容必需是字符串,否则不能成功！）


【免杀综合方案】
综合方案一
修改内存特征码 ＋--->1.入口点加1免杀法＋加压缩壳＋再加壳或多重加壳
        ＋--->2.变化入口地址免杀法＋加生僻壳＋加壳的伪装.
        ＋--->3.加花指令法免杀法＋加压缩壳3＋打乱壳的头文件
        ＋--->4.修改文件特征码免杀法

综合方案二
1.内存特征码修改＋加UPX壳＋秘密行动打乱壳的头文件。
2.内存特征码修改＋加花指令＋加压缩壳
3.内存特征码修改＋加压缩壳＋加壳的伪装或多重加壳
4.内存特征码修改＋去头变换入口点地址＋压缩壳
5.内存特征码修改＋修改各种杀毒软件特征码＋压缩壳
6.内存特征码修改＋加花指令＋去头变换入口点＋加UPX壳＋用秘密行动打乱壳的头文件

（注意：以上免杀方法可以自由组合成多种不同的免杀方案。）

> >