免杀技术

基础内容

---

杀毒软件是如何检测出恶意代码的？

1.静态分析方法就是在不运行恶意代码的状况下，利用分析工具对恶意代码的静态特征和功能模块进行分析的方法。静态分析工具包括 ollyDump（GigaPede2009）、 W32DASM（URSoftware2009）、IDAPro（DataReseue2009）和HIEw（Suslikov2009）等。利用静态分析方法，能够分析出恶意代码的大体结构，能够肯定恶意代码的特征字符串、特征代码段等，还能够获得恶意代码的功能模块和各个功能模块的流程图。静态分析方法是目前最主要的代码分析方法，被普遍应用于恶意代码分析和软件安全测评工做中。
2.恶意代码和其它正常代码（benignsoftware）同样，本质上来 说也是由计算机指令和非指令的数据构成的，根据分析过程是否考虑构成恶意代码的计算机指令的语义，能够把静态分析方法分红基于代码特征的分析方法和基于代 码语义的分析方法两种类型。
1）基于代码特征的分析方法
2）基于代码语义的分析方法
3.动态分析方法
动态分析方法经过在可控环境中运行恶意代码，全程监控代码的全部操做，观察其状态和执行流程的变化，得到执行过程当中的各类数据。使用最普遍的可控环境就是 “虚拟机” （Virtualizers），此环境和用户的计算机隔离，代码在被监控环境中的操做不会对用户计算机有任何的影响。根据分析过程当中是否须要考虑恶意代码 的语义特征，将动态分析方法分为外部观察法和跟踪调试法两种。
1）外部观察法
2）跟踪调试法

免杀是作什么

使用一些方法使得恶意程序不被杀软和防火墙发现，避免被查杀。

免杀的基本方法有哪些

• 方法一:直接修改特征码的十六进制法
  1.修改方法:把特征码所对应的十六进制改为数字差1或差很少的十六进制.
  2.适用范围:必定要精肯定位特征码所对应的十六进制,修改后必定要测试一下能
  否正常使用.
• 方法二:修改字符串大小写法
  1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就能够了.
  2.适用范围:特征码所对应的内容必需是字符串,不然不能成功.
• 方法三:等价替换法
  1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.
  2.适用范围:特征码中必需有能够替换的汇编指令.好比JN,JNE 换成JMP等.
  若是和我同样对汇编不懂的能够去查查8080汇编手册.
• 方法四:指令顺序调换法
  1.修改方法:把具备特征码的代码顺序互换一下.
  2.适用范围:具备必定的局限性,代码互换后要不能影响程序的正常执行

• 方法五:通用跳转法
  1.修改方法:把特征码移到零区域(指代码的空隙处),而后一个JMP又跳回来执行.
  2.适用范围:没有什么条件,是通用的改法,强烈建议你们要掌握这种改法.

  文件免杀方法：

• 加冷门壳
• 加花指令
• 改程序入口点
• 改木马文件特征码的5种经常使用方法

• 还有其它的几种免杀修改技巧

---

免杀实验

---

工具Veil-Evasion

结果