在殺毒軟件越來越強(qiáng)的攻勢下，擁有一只不被查殺的木馬，已經(jīng)成為了廣大黑客愛好者的渴望。但是不被查殺的木馬發(fā)布的那一天，就意味著它已經(jīng)命不久已。授人以魚，不如授人以漁，所以我們隆重推出了這個(gè)免殺特訓(xùn)班，相信大家在這里能夠?qū)W習(xí)到自己需要的真本領(lǐng)。

一 、殺毒軟件的查殺模式

這三種是目前殺毒軟件常用的殺毒模式。

1.文件查殺

殺毒軟件對磁盤中的文件進(jìn)行靜態(tài)掃描，一旦發(fā)現(xiàn)文件帶有病毒庫中的病毒特征代碼就給予查殺。（黑洞2005 服務(wù)端VS 卡巴做演示）

2.內(nèi)存查殺

殺毒軟件把病毒特征代碼釋放到內(nèi)存中，然后與內(nèi)存中的文件進(jìn)行比對，發(fā)現(xiàn)有文件中帶有病毒特征代碼就給予查殺。（灰鴿子2005服務(wù)端 VS 瑞星做演示）

3.行為殺毒

殺毒軟件用木馬運(yùn)行后的一些特定的行為作為判斷是否為木馬的依據(jù)。比如：啊拉QQ大盜在運(yùn)行后會(huì)增加一個(gè)名為NTdhcp.exe的進(jìn)程，還有彩虹橋的服務(wù)端在運(yùn)行后會(huì)在注冊表添加名為HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}\stubpath的鍵值。

[名詞解釋]病毒特征代碼：殺毒軟件截獲到一個(gè)木馬后，將會(huì)提取木馬中比較關(guān)鍵的一段代碼作為辨認(rèn)這個(gè)木馬的特征代碼，在殺毒過程中把它拿出來和磁盤中的文件做比對。就和我們辨認(rèn)人一樣，一看到一個(gè)人就把他的相貌特征記下來，比如：大眼睛啊、瓜子臉啊，在下次見到他的時(shí)候一眼就可以認(rèn)出來。

二 、木馬免殺技術(shù)大盤點(diǎn)

下面分析一下目前木馬躲殺幾種手段，主要針對文件查殺和內(nèi)存查殺！

1.加殼免殺

大家應(yīng)該都會(huì)，建議你選擇一些生僻殼、強(qiáng)殼、新殼，或者加多重殼。

2.修改殼程序免殺

主要有兩種：一是通過加花指令的方法把殼偽裝成其它殼或者無殼程序。二是通過reloc類軟件修改殼的區(qū)段入口點(diǎn)。

3.修改文件特征代碼免殺

此方法的針對性是非常強(qiáng)的，就是說一般情況下你是修改的什么殺毒軟件的特征代碼，那么就只可以在這種殺毒軟件下免殺。主要方法是：直接修改法 和 跳轉(zhuǎn)修改法。其中跳轉(zhuǎn)修改法可以用一些軟件來做到，比如：vmprotect ，我給用工具實(shí)現(xiàn)跳轉(zhuǎn)修改法，取了一個(gè)新名字叫：加密修改法。

4.加花指令免殺

此方法通用性強(qiáng)，而且效果好。主要有兩種：加區(qū)加花和去頭加花。

5.修改內(nèi)存特征代碼

目前內(nèi)存殺毒的殺毒軟件強(qiáng)的并不多。修改內(nèi)存特征代碼對于初學(xué)免殺的朋友來說，難點(diǎn)應(yīng)該是在內(nèi)存特征代碼定位上。至于內(nèi)存特征代碼的修改其實(shí)和文件特征代碼的修改是一樣的為：跳轉(zhuǎn)修改法和直接修改法。但是為了避免出錯(cuò)，建議大家盡量只使用直接修改法。

6. 阻止殺毒軟件掃描內(nèi)存

只是一個(gè)思路，可能要編程來實(shí)現(xiàn)。聽說有的殼程序可以做到，但是本人還沒有測試和驗(yàn)證。

三、殺毒軟件的設(shè)置

做免殺需要把做出來的免殺木馬在多種殺毒軟件下測試，看看是否已經(jīng)免殺。另外我們在定位病毒特征代碼的時(shí)候也需要?dú)⒍拒浖杂?jì)算機(jī)上安裝多種殺毒軟件是必然的。

但是一般安裝兩種或者兩種以上的殺毒軟件在計(jì)算機(jī)上它們就會(huì)沖突，輕則計(jì)算機(jī)運(yùn)行變慢，重則死機(jī)。

下面我就教大家來設(shè)置殺毒軟件，實(shí)現(xiàn)一臺(tái)計(jì)算機(jī)安裝多個(gè)殺毒軟件。

第一、關(guān)閉自動(dòng)更新病毒庫

第二、關(guān)閉定時(shí)掃描

第三、關(guān)閉實(shí)時(shí)監(jiān)控

第四、刪除殺毒軟件寫在注冊表的開機(jī)自動(dòng)運(yùn)行項(xiàng)目

第五、把計(jì)算機(jī)服務(wù)中殺毒軟件添加的服務(wù)自動(dòng)的改為手動(dòng)。