在一黑客论坛上看见的：360免杀技术介绍

一、ASM汇编

这个是最舒服的，用OD打开已经配置好的马，找0区（也可以用TOPO加空段）要很大一片哦！右击，选择“二进制”→“编辑”，在ASCII中输入“Cmd/cREGaddHKLM\SOFTWARE\360Safe\safemon/vMonAccess/tREG_DWORD/d0/f”记下写入命令的改动的第一个地址，假设为401180。

再找一个小空段，记下地址，假设为40116A

写入：

Push401180(也就是那个改动的地址)

CallWinExec

Jmp原程序入口点(在OD右边)

二、BAT＋VBS+RAR

BAT代码如下：

然后用WINRAR建立自解压文件

路径：c:\windows

解压后运行：vbs文件名.vbs

安静模式：全部隐藏

覆盖方式：覆盖所有文件

做完即可。

搞定云查杀的实用小技巧

最近在研究360云查杀认为有几点是必须要注意的，拿出来跟大家分享。

1、做免杀时一定要关闭自己杀软的上传可疑文件选项；

2、避免自启动（包括服务启动和注册表启动）；

3、不要在小鸡的桌面、windows目录下、system32目录下执行木马，否则360无条件上传exe文件。不到五分钟即会被更新到病毒库，立即查杀。

以上三点注意到了，估计云查杀就没问题了。

可通用的批量免杀代码

免杀代码替换方法的小结：

MOV-CMP(有时候可以替换)

MOVEAX,7-SUBEAX,7

ADD-ADC(有时候可以替换)

SUB-SBB(有时候可以替换)

TEST-AND

XOR-OR

OR-XOR

LEA-SUB

CMP-SUB

xoreax，eax

xoreax，eax

改成

xoreax，eax

oreax，eax

有时候可以批量替换

在C32里面搜索33c033c0

替换成33c009c0

全部替换有时候都不会出问题.而且免杀效果也还可以.

Testeax，eax

JEXXXXXXXXX

改成

ANDEAX,EAX

JEXXXXXXXXX

有时候也可以批量替换

把85C074替换成21C074

在网上看到的.说pop等价于push

我也试过貌似每次改都会出错的..

不过你们想试也可以试试看的.也许什么时候能用哦哈哈哈..

主动防御怎么过?

过主动防御的方法：

　1.cmd运行前执行的程序(被动启动)

HKEY_CURRENT_USERSoftwareMicrosoftCommandProcessor

AutoRunREG_SZ"xxx.exe"

2.sessionmanager(自启动)

HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSessionManager

HKEY_LOCAL_MACHINESYSTEMControlSet002ControlSessionManager

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSessionManager

BootExecuteREG_MULIT_SZ"autocheckautochk*xxx"

瑞星就来了一个bsmain，用来开机查毒

不过xxx.exe必须用NativeAPI，不能用Win32API

3.屏幕保护程序(被动启动)

HKEY_USERS.DEFAULTControlPanelDesktop

SCRNSAVE.EXEREG_SZ"xxx.scr"

其实屏幕保护程序scr文件就是PE文件

4.

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesRun

"MSCONFIG"="%SystemRoot%xxx.exe"

——还有很多注册表项更改后,可以实现自启动,这里先写这几个,其他的去要测试.

另外,还有一个偷换控制面板文件来被动启动的方式，控制面板文件在C:windowssystem32下

的.cpl文件,这个文件类似与dll文件.方法给大家了,至于怎么利用,大家就各显神通吧!

木马免杀技术归总

一.入口点加1免杀法:

1.用到工具PEditor

2.特点:非常简单实用,但有时还会被卡巴查杀

3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可

二.变化入口地址免杀法:

1.用到工具:OllyDbg,PEditor

2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳.

3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址.

三.加花指令法免杀法:

1.用到工具:OllyDbg,PEditor

2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀.

3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令的着地址.

四.加壳或加伪装壳免杀法:

1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等.

2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀

3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的免杀效果更佳

五.打乱壳的头文件或壳中加花免杀法:

1.用到工具:秘密行动,UPX加壳工具.

2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好

3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.

六.修改文件特征码免杀法:

1.用到工具:特征码定位器,OllyDbg

2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好

操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程.

感谢反馈，我们会进一步核实

另外您那的限制条件下运行此木马，估计传播就不会那么快了