odbydyk 脱壳软件哪里有
你可以到看雪论坛下载
这个里面什么软件都有
小生我怕怕破解工具包
┠侦壳工具
┃ ┠Exeinfo G3小生我怕怕汉化版
┃ ┠DiE64
┃ ┠AT4RE FastScanner
┃ ┠exeinfope
┃ ┠fi V4.01
┃ ┠ArmaFP汉化版
┃ ┠ScanIt
┃ ┠FBA
┃ ┖FFI
┠小生我怕怕专用
┃ ┠小生我怕怕记事本
┃ ┠破解计算器
┃ ┠调试专用[调试推荐]
┃ ┠PEID优化版
┃ ┠小生我怕怕版
┃ ┠小生测试版
┃ ┠LordPE小生我怕怕版
┃ ┠超级灰色按钮专家
┃ ┠CHimpREC汉化
┃ ┠PEID V0.94美化版[查壳推荐]
┃ ┠oep查找辅助
┃ ┠大众翻译
┃ ┠便携式工具
┃ ┠LordPE 原版
┃ ┖LordPE 含报告版
┠反汇编工具
┃ ┠C32A *** 特别版
┃ ┠VB Decompiler[含:注册机]
┃ ┠W32Da *** V10.0
┃ ┠W32D *** 无极版 v3.0
┃ ┠C32A ***
┃ ┠E-Code Explorer
┃ ┠DarkDe4
┃ ┖免杀版DEDE
┠调试工具
┃ ┠^0^-Fly
┃ ┠flyODBG
┃ ┠Snd
┃ ┠ODExplorer
┃ ┠Ollydbg过VM
┃ ┠☆小生我怕怕☆[最后一次异常专用]
┃ ┠OllyICE
┃ ┠The0DBG
┃ ┖IDebugger-汉化
┠编辑工具
┃ ┠Hex Workshop v5.1[含:注册文件]
┃ ┠WinHex14.2专家版
┃ ┠UC
┃ ┠hiew32
┃ ┠HEdit
┃ ┠Uedit32
┃ ┠FlexHEX
┃ ┖WinHex14.1个人版
┠PE工具
┃ ┠ImportREC小生我怕怕版
┃ ┠UnpkT0l Unpacked v1.5 CN
┃ ┠Overlay
┃ ┠CHimpREC原版
┃ ┠ImpREC FINAL 1.7汉化版
┃ ┠PEditor汉化版
┃ ┠PETools汉化版
┃ ┠topo12_ch汉化版
┃ ┠Overlay附加数据处理
┃ ┠ImportREC1.6汉化版
┃ ┠xPELister 3.0汉化版
┃ ┠sPirit's rEbuilder汉化版
┃ ┠Resource Binder 2.6 CN Fixed
┃ ┠ImportREC1.6原版
┃ ┠PE Optimizer V1.4 汉化版
┃ ┠zeroadd汉化版
┃ ┠偏移量转换器
┃ ┠DllLoader
┃ ┠附加数据提取
┃ ┖Stud_PE汉化版
┠资源工具
┃ ┠FixResDemo汉化版[注:支持拖放]
┃ ┠XNResourceEditor汉化版
┃ ┠eXeScope
┃ ┠ResHacker
┃ ┠Resfixer v1.0beta1汉化版
┃ ┠FixResDemo汉化
┃ ┠Restorator汉化版[注:含注册文件]
┃ ┠VBExplorer资源编辑
┃ ┠pexplorer
┃ ┠VBLocalize
┃ ┠ResScope
┃ ┠freeres[含:系列注册机]------------2款注册为一系列
┃ ┠GetVBRes v0.51[含:系列注册机]-----注册机在此目录
┃ ┠GetVBRES v0.90[含:注册补丁]
┃ ┠ResHacker
┃ ┠资源编辑器
┃ ┠PeXplorer吾爱破解特别版
┃ ┠Dis#3.1.3
┃ ┠pupe汉化版
┃ ┖PEResourceExplorer v1.2.0.1
┠脱壳工具
┃ ┠ACP系列脱壳机
┃ ┠RL!dePacker英文版
┃ ┠Abstersiver英文版
┃ ┠EPE小霸王手柄
┃ ┠tmdunpacker脱壳机
┃ ┠小生怕怕版虚拟脱壳机
┃ ┠ASPack UnPacker汉化版
┃ ┠PECompact脱壳机汉化版
┃ ┠WinUpack_KiLLeR
┃ ┠EPE411121
┃ ┠PECompact脱壳机
┃ ┠AoRE_Unpacker通用脱壳机
┃ ┠PEunLOCK
┃ ┠yoda's Protector
┃ ┠EPE脱壳机
┃ ┠RL!dePacker汉化版
┃ ┠tElock脱壳机
┃ ┠易语言通用脱壳机
┃ ┠超级巡警脱壳机1.5
┃ ┠AspackDie
┃ ┠易语言脱壳机0.3b2
┃ ┠易语言脱机0.31
┃ ┠易语言脱壳机
┃ ┠穿山甲脱壳机汉化版
┃ ┠ASprStripper
┃ ┠FSG133Unpazker
┃ ┠UnFSG2.0
┃ ┠WNspack
┃ ┠RL!deASPack 2.0
┃ ┠RL!deFSG 2.0
┃ ┠RL!deMEW 1.x
┃ ┠RL!deNsPack 3.x
┃ ┠RL!dePackMan 1.x
┃ ┠RL!dePeX 0.99
┃ ┠RL!deUPX 1.x-2.x
┃ ┠qunpack
┃ ┠upxfix
┃ ┠lpk过EPE注册框补丁
┃ ┠Unpacker ExeCryptor英文版
┃ ┠EPE V2 Stripper 高级版 rc4
┃ ┠UnDDeM
┃ ┠upx-ripper
┃ ┠Unpacker ExeCryptor_1.0_chs汉化版
┃ ┠Themnet Unpacker_original
┃ ┠UnThemida 1.0
┃ ┠UnThemida 2.0
┃ ┖UnThemida 3.0
┠补丁工具
┃ ┠XMemPatch
┃ ┠keymake
┃ ┠Dup 2.17
┃ ┠CodeFusion_ch
┃ ┠aPE
┃ ┠Inline Loader v1.0
┃ ┠pmaker03xp
┃ ┠暗组内存补丁生成器XMemPatch 1.0
┃ ┠dll型内存补丁生成器
┃ ┠ABEL汉化版
┃ ┖LAGLOAD
┠加壳工具
┃ ┠Packer1.2
┃ ┠VMProtect1.63正式版
┃ ┠Themida.Custom.Build.V1.9.9.0
┃ ┠VMProtect1.64
┃ ┠EPE1201_企业开发版
┃ ┠ZProtect
┃ ┠HH_UPX4PC
┃ ┠ASProtect.SKE.V2.4
┃ ┠ASProtect SKE 2.3
┃ ┠Armadillo.V5.42.Public.Build.CracKed.By.UnPacKcN
┃ ┠ACProtector
┃ ┠RLPack1.20企业中文版
┃ ┠Themida.v1.9.5.0
┃ ┠RLPack1.17完整汉化版
┃ ┠ASPACK
┃ ┠fsg2.0
┃ ┠Nspack3.7.Cracked
┃ ┠WinUpackC
┃ ┠PECompact V2.87.3
┃ ┠Virtualizer
┃ ┠堀北压缩 0.28 beta
┃ ┠UPXShell
┃ ┠FSG
┃ ┠mew11
┃ ┠PE-Armora
┃ ┠Obsidium
┃ ┠PESpin.v1.32.UnPacKed_chs
┃ ┠yoda's Protector V1.03.3
┃ ┠eXPressor.v1.4.5.1-Fly脱壳
┃ ┠Private exe Protector.chs
┃ ┠mbox2w
┃ ┠ORiEN v2.12
┃ ┖StealthPE_cracked_Flashback^tmx
┠其他工具
┃ ┠UniExtract解包工具1.6
┃ ┠动画录制
┃ ┠专搞封包
┃ ┠福昕阅读器
┃ ┠Trial-Reset
┃ ┠破文生成器
┃ ┠屏幕录制
┃ ┠灰色按钮克星
┃ ┠函数查询
┃ ┠管理发送到
┃ ┠Ico图标编辑
┃ ┠A *** Fun(汇编指令查询器)Fun_1.2
┃ ┠点睛字符替换器[小生我怕怕修正版]
┃ ┠虚拟偏移地址转换
┃ ┠注册表监视器
┃ ┠文件监视器
┃ ┠破解计算工具 v1.00
┃ ┠WSockExpert
┃ ┠ *** sniff
┃ ┠封包助手 V0.6
┃ ┠密码学综合工具 V2.0 正式版
┃ ┠WinMD5
┃ ┠文件监控Hook
┃ ┠32bit Calculator v1.7
┃ ┠花指令清除器1.2
┃ ┠ASCII中英字符转换
┃ ┠防忽悠
┃ ┠ArmInline
┃ ┠C++函数解释器
┃ ┖彗星开发小助手
┠穿山甲系列
┃ ┠AIntruder
┃ ┠ArmaCRC
┃ ┠ArmaDetach
┃ ┠ADM DebugBlocker
┃ ┠ADM CopyMemII
┃ ┠armadillo
┃ ┠Armadillo Reducer 1.7.1 RC2
┃ ┠ARMDLLStrip
┃ ┠ArmSecStriper
┃ ┠ArmaKG
┃ ┠Armadillo Cleaner v1.0
┃ ┠ArmTools
┃ ┠ArmaDumper
┃ ┠ArmaEV
┃ ┠ArmaGUI
┃ ┠ArmaReducer
┃ ┠dilloDIE
┃ ┠ArmInline
┃ ┠NanoView
┃ ┠DeAttcher
┃ ┠HWID Changer v.0.2 by TrueLies
┃ ┠L-10
┃ ┠dilloDIE
┃ ┠Enjoy
┃ ┠UIF
┃ ┠Ua14
┃ ┠Ua12
┃ ┠Ua13
┃ ┠Unarm11
┃ ┖ArmaFP_bypassAV
哪位大神说说 什么是 文件的 特征码?详细一点!
文件特征码
阅读人数:1259人页数:6页价值:0下载券709448646
如今杀软的升级,他们的性能越来越强大,查杀力度和广度都大幅度提高,启发式杀毒的日益完善,使免杀工作越来越困难。杀软在进步我们小黑也不能落其后啊,我们必须努力掌握最新的免杀技巧和动向,同时也不能一步登天的忘了我们的基础。而传统的特征码差杀,杀软依然在使用。因此要想使我们的木马文件不被查杀,修改文件特征码也是一种常用的 *** ,今天就以特征码修改技术给大家做一个总结,献给支持和关心暗组的朋友,也献给免杀初学者和即将要学习免杀的朋友,本人能力有限,错误之处请大家指出,我们共同学习进步…
一. 什么是“特征码”
我们从字面意思上看,就是具有一定特点或特征的一串字符…而这串字符就是被杀软定义一文件是否是病毒的依据..
然而稍微专业点就是程序运行时,在内存中为完成特定的动作,要有特殊的指令,一个程序在运行时,同一内存地址的指令是相同的同一个程序中,一段连续的地址(它的指令相同),那么我截取这段地址,就可以判断它是不是这个程序。为了防止出现病毒的误查杀,可以提取出多段特征码。这也就是我们所说的复合特征码.
A. 特征码主要又分为:文件特征码,内存特征码,行为特征码,(主动特征码,如瑞星)
B. 同时,又分为:单一特征码和复合特征码;
单一特征码就是说,一个程序中的几句代码被杀毒软件做为识别标志。修改掉一处就可以免杀。
复合特征码:一个程序中的多句代码被杀毒软件作为识别标志。有一处不修改都不能免杀。
二. 修改特征码免杀技术
修改特征码技术,是以杀软查杀特点得来的。杀软会用它们的特征库(也就是我们说的病毒库)和我们的文件某些字符作对比,如果彼此吻和,就定义为我们的文件为木马病毒。同时,我们只要修改了它定义出的文件特征码,这样会出现什么情况呢,不用说那就是我们所说的免杀,也就是用修改特征码技术来达到我们文件的免杀.
三. 分析文件特征码
我们要使一个木马文件免杀就要修改它的特征码,但这些特征码我们如何得来。这就
说到了我们特征码分析,也就是我们所说的特征码定位。而定位的工具有很多,常见也是大家都觉得好用的有(CCL MYCCL multiCCL等).这就不具体说明,我们重点是特征码修改.
四. 修改特征码常用工具
OD(Ollydbg.exe) C32(C32A *** .exe) 辅助:RestoratRestorator.exe LordPE.exe
PEID 0.95.exe 汇编指令查询器(可以很好的帮助我们在修改特征码过程中遇到不认识的汇编指令时,我们可以用它来查询,了解相关功能)(如下图)五.
1/6页
修改特征码基础汇编指令
到了这里眼看就要修改了做免杀了。大家别急,有句话说的好:“巧妇难为无米之炊”。
也就是说,我们现在有了好的工具但是你会用吗?如果回答是否定的,那一切还是等于零。工具的使用我这里就不说了,暗组论坛自己搜,NEW4写的OD使用说明就很不错,大家可以看看。好了,我们言归正传。修改特征码需要具备基本的汇编知识,不懂没关系,只要你肯学肯记,不需要你对汇编了解太深,只要记住常见的指令和它们的作用。大家请注意,这步是学习免杀即修改特征码最关键的一步,这步学习的好坏,决定你以后修改特征码技术的高低…这里我给大家列出我们必须去掌握的一些指令,希望大家下来好好背记…
怎样才能增强肌肉强度
肌肉嘛,可以多做些仰卧起坐,俯卧撑,这对腹部手臂,大腿,腰都有锻炼,关键要坚持,可以先从30个仰卧起坐,10个俯卧撑开始,接着每种每天多做一个,贵在坚持(可以的话可以早上起来和晚上睡觉前做一轮,等到能做到60个仰卧起坐,四十个俯卧撑时,可以一组为单位,每组20个仰卧起坐,15个俯卧撑,暗组为单位地做)!可以在放假时跑跑长跑,不要太快太远太久,10——20分钟,1000——1500m,就差不多了,也是坚持。有条件做引体向上(足球架就可以,留心的话,器材到处都有)的话,从一个开始,能做多少做多少,但每一天坚持在头一天的基础上加一个,(要么保持不加但不能减)。等到能做10个时久差不多了,每天做对腰和臂有好处。还有平常也可以锻炼,不一定要特意去练,比如坐公交车,保持站立,手握扶手以尽力保持身体不动,无论车是直行还是拐弯。等等,还可以下课是两手撑桌子,保持身体悬空……
运动不要过量,适当就行,肌肉不适特意能练出来的,注意平时的生活中的锻炼,当然加强一点做一些辅助运动很好的!
祝你身体健康!
这些全是我自己总结的,给我评优秀吧
暗组qq木马Beta无壳免杀版怎么用?
您好
建议您不要去学习使用木马病毒,是属于违法犯罪行为,而且,如果您接收了木马病毒,那么该病毒会自动在您的电脑中优先运行,最终可能会导致您自己的帐号被盗
建议您到腾讯电脑管家官网下载一个电脑管家。
在平时使用电脑的时候,打开电脑管家,可以受到电脑管家16层实时防护的保护和 *** 账号全景防卫系统,全方位多维度保护账号安全,精确打击盗号木马,瞬时查杀并对风险预警。
如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问,我们将尽全力为您解答疑难
腾讯电脑管家企业平台:
(满意追加)免杀 *** 或者免杀教程,学习用,非常感谢
首先来简单了解一下杀毒软件查杀病毒的原理,当前杀毒软件对病毒的查杀主要有特征代码法和行为监测法。其中前一个比较 *** 古老,又分为文件查杀和内存查杀,杀毒软件公司拿到病毒的样本以后,定义一段病毒特征码到病毒库中,然后与扫描的文件比对,如果一致则认为是病毒,内存查杀则是载入内存后再比对,第二个比较新,它利用的原理是某些特定的病毒会有某些特定的行为,来监测病毒。
免杀常用的工具:
Ollydbg 调试器简称OD,动态追踪工具 peid 查壳工具 PEditor PE文件头编辑工具
CCL,伯乐,MYCCL 特征码定位器 oc 地址转换器 reloc 修改EP段地址工具 zeroadd 加区工具 Uedit32 十六进制编辑器
免杀 ***
一.文件免杀
1.加花
2.修改文件特征码
3.加壳
4.修改加壳后的文件
二.内存免杀
修改特征码
三.行为免杀
加花
加花是文件免 杀的常用手段,加花原理就是通过添加花指令(一些垃圾指令,类似加1减1之类废话)让杀毒软件检测不到特征码。加花可以分为加区加花和去头加花。一般加花 工具使用加区加花,当然也是可以手工加的,就是先用zeroadd添加一个区段,然后在新加区段里写入花指令,然后跳转到原入口;去头加花,是先NOP (汇编里的空操作)掉程序的入口几行,然后找到下方0000区,写入NOP掉的代码和一些花指令,再通过JMP(汇编里的无条件跳转)跳到原入口。
加花以后一些杀毒软件就认不出了,但有些比较强悍的杀毒,比如司机大叔(卡巴斯基)可能还是能查出来,这时就要定位特征码然后修改了,要修改首先必须知道特征码在哪里,所以需要先定位特征码,这是个难点,特别是复合特征码的定位。
特征码定位
特征码定位主要有两种 *** :之一 直接替换法;第二 二叉数法;
直接替换法是最早开始出现的一种特征码定位 *** ,按一定的字节数逐个替换原代码并保存,比如木马总共100字节,可以先把0-10个字节用0替换,保存, 然后用杀毒软件扫描,不被查杀说明特征码已经被覆盖掉了,如果还被查杀则替换10-20字节,再保存,扫描……直到找出特征码。替换法的优点是容易理解, 速度快(对文件特征码而言),特征码定位工具伯乐以及CCL的手动方式就是利用的替换法原理,文件特征码定位经常使用的就是这种 *** 。但是对于内存特征码的定位这种 *** 就不太实用了,每次替换以后都要载入内存再扫描,如果木马较大,替换生成的文件会 非常多,每个都要载入内存花费太多时间,除此之外它还有一个非常大的局限性,就是只能确定只有一处特征码的情况(某种特定情况下的多特征码也是适用的,下 面的第3种情况将有讲述),杀毒软件还有别的定位特征码的机制,比如有的杀毒的定义了a,b两处特征码(三处或者更多原理是一样的,为了讲解方便,以下均 以两处为例),只要a,b有一个存在便报毒,只有加大替换范围直到两处同时被替换才不报毒,如果两处距离比较远,定义出的范围将非常粗糙,很明显直接替换 法将不再合适,这时第二种 *** 就有用武之地了。
二叉数法使用的原理是一半一半定位,CCL的自动方式就是运用的这个原理。将待检测段一分为二,分别替换并生成两个文件A和B,其中A是原文件后半部分被0替换后生成的,B是前半部分被0替换的,杀毒开始查杀生成文件(如果是内存特征码定位则先载入内存再扫描内存),有4种情况
(1)A存在,B被删:这种情况说明A文件中特征码已经被替换掉,因此将A的被替换部分一分为二,起始偏移为A的偏移,再进行检测;
(2)A被删,B存在:这种情况说明B文件中特征码已经被替换掉,因此将B的被替换部分一分为二,起始偏移为B的偏移,再进行检测;
(3)A存在,B存在:这种情况说明没法定位A和B中有没有特征码,因此分别对A和B再一分为二进行检测;
(4)A被删,B被删:这种情况说明两个区段都存在特征码,因此分别对A和B再一分为二进行检测。
对A再分时会将原来的B区段填充为0,相当于去除B区段的影响,只考虑A;同理对B再分时会将原来的A区段内容填0,相当于去除A区段的影响,只考虑B。
第(1)(2)对应的是只有一处特征码的情况,比较容易理解;
第(3)对应的是定义了a,b两处特征码的情况,但是和前面提到的那种不同,杀毒软件为避免误判,定义了a,b两处特征码,要ab同时存在时才报毒,假设a,b分别存在于A,B中,a,b不同时存在,杀毒对A,B均不报警,接下来该如何判断呢?举个例子说明一下
木 马原来是…a……b…,之一次替换以后A:…a…000000,B:000000…b…,现在ab不同时存在,A,B都不被杀,则分别对A,B再次一分为 二,…a……b000,…a…000…,000……b…,…a000…b…,再次扫描就可以找到两处特征码的位置,如果还是不行,再继续分……直到全部找 到;其实这种类型的多特征码直接替换也是可以定位的,甚至效果更好,按一定位数替换,然后扫描,只要替换了一个特征码就不再报毒,所以不报毒的便是特征码 被覆盖的,不管有几处都可以定位出,而且修改时也只要修改任意一处就可以了。
第(4)种对应的情况也是杀毒定义了多处特征码,就是上面提到的那种情况,只要有一处符合就认定是病毒。还是以a,b两处特征码为例,之一次替换后的结果同(3),两部分分开考虑,互不影响, 相当于分解成两个单个特征码的情况,第二次替换后变成000000…b000,000000…000…,000…000000,…a000000000, 依此类推,直到精确定位出所有特征码,如果有N处特征码就相当于分解成N个单特征码来定位,现在N一般小于等于3,这种情况定位出的所有特征码必须全部修 改了才能免杀。
二叉数法是个很不错的思路,可以解决大部分的问题,但是不是无懈可击呢?回答是否定的!可恶的杀毒软件还有一个杀手锏,就是复合特征码,给我们定位特征码 带来了很大的麻烦。复合特征码的定位机制是,先定义出N个特征码,只要里面某些同时出现便认为是病毒。举个简单例子说明一下:木马原来是…a1…b1… c1…a2…b2…c2…(a1,a2一样,加标号只是为了后面描述方便),只要abc同时出现就认为是病毒,这该如何定位呢?原理不是很难,也是利用替 换再查杀的 *** ,先从后往前用0替换,替换精度假设为每次替换量增加1000字节,开始一直显示是病毒,直到替换到地址13140040(为叙述方便随便 说的一个地址)时替换的字节达到15000个,即…a1…b1…00000000,两个c都被替换掉了,此时显示不是病毒,由此可知,特征码c1就在 13140040后面1000字节内,减小替换字节数比如改为替换14900字节,即精度改为每次替换减小100字节,还是无毒则减为替换14800字 节,不断重复……直到精确定位出c1的位置;如果改为从前往后替换,则可以定位出a2的位置;其他特征码的定位可以利用已经定位到的c1,a2,把其中一 个用0替换了比如c1,从后往前就可以定位出c2,直到定位出所有特征码,其实原理并不复杂,但是要真正手动操作起来却是非常麻烦的,我们可以利用 MYCCL,它用的原理与之类似,具体操作可以看MYCCL的操作帮助。还有一种 *** 更科学,原理是一样,但是替换的字节数不是等量增加的,而是以2的n -1次方增加的,之一次替换1字节,第二次2字节,第三次4字节……减小时也按照这种规律,这种替换 *** 有点类似于二叉数法,可以更快定位出特征码的位 置,我想这也是MYCCL在复合特征码定位方面应该改进的地方吧。
复合特征码虽好,大家也不用害怕,认为所有杀毒都来个复合特征码我们就要累死了,定义复合特征码需要单个特征码几倍的病毒库,不方便用户的升级,所以除了特别流行的病毒,定义复合特征码的也不是很多。
定位特征码有些经验可以告诉大家,文件特征码的定位一般用直接替换法,可以借用CCL的手动定位;内存特征码定位,一般用二叉数法,可以用CCL自动定位。对于EXE文件如果文件较小,可以两种 *** 结合,先用直接替换法生成,可以用伯乐这个工具(为什么不用CCL呢,因为伯乐生成的是EXE文件可以看出图标的模样),找到还能正常运行的,那些图标都变了的说明PE头已经损坏了,就不要试了,然后载入内存,再扫描内存,如果既能正常运行又不被杀,恭喜你!成功了!定位出了大体范围,再用CCL自动定位,很快就可以完成。如果文件较大,用伯乐生成的文件太多,也不方便,还是用CCL定位,对于DLL文件也只能老老实实用CCL定位了。
特征码修改
特征码修改可能需要一点汇编的知识,光盘里有常用的汇编语法介绍,修改主要有直接修改法和跳转修改法。
直接修改法利用的是等效指令替换,比如
add eax,0c等效于sub eax,-0c
或者指令顺序的改变不影响执行的效果,比如
add eax,0c;eax寄存器加上0c再赋给eax
add ebx,05;ebx寄存器加上05再赋给ebx
等效于
add ebx,05;ebx寄存器加上05再赋给ebx
add eax,0c;eax寄存器加上0c再赋给eax
还有一种是如果特征码是ASCII码,可以直接修改大小写,小写字母换成大写,大写的换成小写。
加壳
不用说了,用工具大家都会,加壳的原理是给原程序加上一段保护程序,有保护和加密功能,运行加壳后的文件是先运行壳再运行真实文件从而起到保护作用。我想提醒大家的是,再好的壳用的人多了,还是会被杀的,所以可以努力学好E文,自己到国外的网站找加壳工具,比较好。
修改加壳后的文件
加壳以后程序入口处会有一段特殊代码,可以自己用OD打开不同加壳工具加过壳的文件, 可以发现不同的壳开头那段代码是不同的,也可以说成是壳的特征代码吧,对于常用的壳杀毒软件可以脱掉壳再查杀,也就是所谓的穿壳技术,为了避免杀毒软件认 出是加的哪种壳我们可以加双壳,或者自己修改开头那段代码,从而让杀毒看不出是什么工具加的壳,这里我只讲一种修改 *** ,可以参照去头添加花指令,在空白 区域加入一段别的壳的特征头,然后JMP跳到原入口,这样杀毒就会误判加壳工具,从而达到免杀的效果,其实 *** 是多样只要愿意思考总能想出应对的 *** 。
还有一种修改壳的 *** 就是修改EP段的入口,用Peid查一下加过壳的木马,可以发现EP段的地址,也就是区段入口,通过修改EP入口地址可以达到免杀的效果,利用的工具是reloc,具体使用 *** 自己去问google。
行为免杀
这种杀毒的代表是绿鹰PC万能精灵。一般说来木马在运行以后会复制到系统目录下然后运行,原文件可能会自动删除,现在的木马一般是插入进程来访问 *** 的,在进程里可以看到 *** 入的进程,设置开机启动也是木马必须做的可以写入注册表,加入服务,写入驱动等等,这些便是木马特有的行为。我们可以用注册表监控,文件修改监控的工具比如木马辅助查找器记录修改的文件、注册表,推测杀毒可能监控的是哪个行为从而对应修改行为来达到行为免杀。还有一个一般的 *** ,行为杀毒是不会查杀系统的启动项的,我们可以把木马的启动项替换成非系统必须的开机自启动项就可以成功免杀了。至于其他的 *** ,大家可以自己再研究。
至于网上流传的入口加1,就是用PEditor将木马入口地址+1,有时也是可以达到免杀的效果,好象是瑞星比较吃这个,还有个小窍门可以告诉大家,要让 自己的免杀木马尽量久的不被查到,更好选择比较老的木马来做,对新木马,杀毒盯的紧会经常更新病毒库,而老的呢……不用说了吧。
总结:
一般免杀步骤是先定义内存特征码,修改内存特征码,加花指令做文件免杀,如果还被某些杀毒查杀则定义文件特征码,修改特征码,接下来是行为免杀,然后加壳,再修改壳。内存免杀一般只要做瑞星的就可以了,其他的杀毒软件没有真正意义上的内存杀毒,比如卡巴斯基的内存扫描就是文件快速扫描,一般加入花指令(稍微学点汇编,折腾些垃圾代码是很简单的)以后就可以躲过金山,瑞星,江民的文件查杀,万一有不过的就要定位特征码再修改,卡巴的文件查 杀是很牛的,加了壳也几乎都能可以查出来,一般都要定位特征码再修改,对于诺顿这种喜欢把特征码定位在PE头的只要用北斗之类工具加个壳,把PE头改得一 塌糊涂,它就不认识了,如果还想把免杀做好点,可以把自己的服务和注册表键值改成非系统必须的,要是你是不折不扣完美主义者,可以再修改一下加壳后的文件,把免杀进行到底!
传奇私服 久久网游,暗组冰狼辅助0904
楼主,建议你用一个稳定性能好的,威力大的【烈日辅助1.02免费版】,它可以算是行业中排行榜前三的,试哈你就晓得了。
0条大神的评论