一些自己总结的免杀技术

木马免杀的一些个人经验


PE类：EXE. dll

1.脱壳解密

脱壳在木马免杀中由为重要！。。所以希望大家好好学习脱壳

脱壳的好坏直接影响到木马免杀效果（如果不完全脱壳，在<定位内存特征码>可能会使定位中没发现特征码但是运行中又发现木马。）

2.定位特征码

一般从大范围定位后逐渐缩小范围（字节型）

（个数型）一般从生成100个数的大致定位特征码后转入字节型定位。

单一文件特征码定位：CLL MYCLL multiCCL
复合文件特征码定位：MYCLL multiCCL

内存特征码定位： OD（一半一半定位） MYCLL multiCCL [一般都要确定你的文件是否完美完全脱壳后在进行文件特征码定位]

3.特征码修改

简单的等效代码转换如下：（不过有时改后也损坏文件所以看情况）
push　变　pop　
je 变　jnz
add 变 sub
add ecx,2 可以改为　sub ecx,-2
加ecx内存器＋2 减ecx内存器-2　　- -2得＝2

上面的等效代码用不了还是乖乖用，JMP跳转法把特征码转移

*******************************************************
网页木马类： JS html htm asp 等

1.拆分变量。

用&连接符号，拆分变量


2.加入垃圾代码。
和PE免杀花指令差不多


3.等值代码修改
<html></html>

<htm></htm>

把html全部改htm 效果一样


4.代码添零
在记事本中加入空格，然后用16进制的编辑器（Uedit32）打开把 空格对应（20）替换成（00） 即可
该方法运用广泛。使用简单！！推荐 呵呵


5.编码加密(工具见附件)


6.使用变量（赋值语句）

变量名 = 函数或者语句

然后用的时候直接写变量名


（这类应用需要琢磨一下，比较容易出错特别是对 语言不熟悉的 建议看些书或者相关知识在弄）