免杀系列01-免杀原理

免杀的基本思想就是破坏特征，这里的特征有可能是特征码，还有可能是行为特征，只要破环了病毒或木马的固有特征，并且保证原有的功能没有改变，那么免杀就算是完成了。

这篇文章就由妖怪来给大家讲解一下免杀的基本原理。

特征码

特征码就是一种只在病毒或木马文件内才有的独一无二的特征，它或是一段字符，或是在特定位置调用的一个函数。总之，如果某个文件具有这个特征码，那反病毒软件就会认为它是病毒。反过来，如果将这些特征码从病毒、木马的文件中抹去或破坏掉，那么反病毒软件就认为这是一个正常文件了。

黑客们研究木马的最终目标就是在保证源文件功能正常的情况下，通过一些特殊手段，使得源文件在被查杀时不被消除。怎样使一个病毒文件变成一个正常文件对于黑客来说就是常用的手段，下面只要学会一种其他的也就很好理解了。

通过修改特征码

黑客们无法直接将文件安全的发送到目标主机，就需要修改特征码来满过目标主机。修改特征码，这是免杀的最初方法。例如一个文件在某一个地址内有“灰鸽子上线成功！”这么一句话，表明它就是木马，只要将相应地址内的那句话改成别的就可以了，如果可有可无的话，也可以直接删除。

第二种是针对目前推出的校验和查杀技术提出的免杀思想，它的原理虽然仍是特征码，但是已经脱离纯粹意义上特征码的概念，不过万变不离其宗。其实校验和也是根据病毒文件中与众不同的区块计算出来的，如果一个文件某个特定区域的校验和符合病毒库中的特征，那么反病毒软件就会报警。

所以如果想阻止反病毒软件报警，只要对病毒的特定区域进行一定的更改，就会使这一区域的校验和改变，从而达到欺骗反病毒软件的目的，如图所示。这就是在定位特征码时，有时候定位了两次却得出不同结果的原因所在。

花指令免杀

花指令其实就是一段毫无意义的指令，也称之为垃圾指令。花指令是否存在对程序的执行结果没有影响，所以它存在的唯一目的就是阻止反汇编程序，或对反汇编设置障碍。如果黑客的技术高超就可以使得木马免于查杀。

大多数防病毒软件都依赖于特征码来确定文件是否有毒，并且为了提高准确性，当前特征码必须在一定的偏移量范围内，否则会严重影响防病毒软件的工作效率！黑客在程序中添加了花指令后，该程序的部分偏移将受到影响。如果防病毒软件无法识别出花指令，则检测代码的偏移量将偏移整个位置，自然无法正常检测到木马。

加壳免杀

软件加壳也可以说是软件加密，只是加密的方式和目的不同而已。一般的加密是为了不让别人浏览，而加壳是为了不让杀毒软件查杀。例如我们常见的共享软件如果不加以保护，就很容易被别人破解。

加壳并不会破坏程序本身，当我们运行它时，系统会将加密程序释放到内存中去，表面上看起来没有任何变化，但实则上它已经完成了“壳”的作用。

具体操作可以参考以前的文章关于木马的加壳与脱壳

内存免杀

程序在运行时，首先会解密到内存中，然后再让CPU执行。所以说所有加密的程序在让CPU执行前先解密到内存，否则无法运行。反病毒公司便在这里设了一个关卡，这就使得大部分运用原有文件免杀技巧处理过的病毒木马纷纷被杀。

黑客对抗内存查杀与文件查杀一样，他们都是通过特征码比对，大多数反病毒公司的内存扫描与文件扫描采用的不是同一套特征码，这就导致了一个病毒木马同时拥有两套特征码木马免杀工具，必须要将它们全部破坏掉才能躲过反病毒软件的查杀。

行为免杀

当上面的查杀都失效时，反病毒厂商便提出了行为查杀的概念，从最早的“文件防火墙”发展到后来的“主动防御”，再到现在的部分“云查杀”，其实都应用了行为查杀技术。

那么黑客怎么破解这种查杀呢？反病毒公司将这场博弈彻底提高到了软件领域最深入的一层—系统底层，这就使得黑客们需要掌握的各种高精尖知识爆炸式增长，这一举动将大批的黑客技术的初学者挡在了门外。

黑客免杀技术发展到现在，已经出现了向渗透入侵等领域靠拢的趋势，黑客们将能躲过主动防御的方法称为0Day，并且越来越多的木马选择使用本地缓冲区溢出等攻击手法来突破主动防御。

软件脱壳参考文章教程“PEiD 是一款很好用的查壳工具”（文章教程区）

最近妖怪做了一款黑客工具箱，因为目前网络上大部分的工具包都是几年以前的了，里面大部分的功能老化严重，使用起来十分的不便，对于新手来说更是不太友好。

妖怪做的这款工具箱呢集合了网络上比较流行的几大功能，比如加密解密、远程控制、加壳脱壳、渗透和反编译工具等等。具体功能自己下载后慢慢摸索吧。

下载后直接解压打开即可，无需安装。建议不要直接解压到电脑中，可以在虚拟机中使用。在解压过程中关闭所有的安全软件，否则在解压后会有部分功能不能使用。

有需要的请私信。

（编辑：财气旺网 - 财气网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!