您所在的位置: 首页 > 教程首页 > 病毒安全 > 免杀是什么意思 为什么免杀程序不报毒
1、含意:能识别一个程序是一个病毒的一段不大于64字节的特征串。
2、为了减少误报率,一般杀毒软件会提取多段特征串,这时,我们往往改一处就可达到免杀效果,当然有些杀毒软件要同时改几处才能免杀。
3、特征码的查找方法:文件中的特征码被我们填入的数据(比如0)替换了,那杀毒软件就不会报警,以此确定特征码的位置。
4、特征码定位器的工作原理:原文件中部分字节替换为0,然后生成新文件,再根据杀毒软件来检测这些文件的结果判断特征码的位置。
1、CCL(特征码定位器,由于杀软的升级,现已过时)
2、MYCCL(特征码定位器,由程序员Tanknight在CCL的基础上改进)
3、OllyDbg (特征码的修改,可用于动态反汇编。注意:用它修改特征码时,要用OC转换成内存地址)
4、C32ASM(特征码的修改,也可用于静态反汇编)
5、OC(用于计算从文件偏移地址到内存地址的小工具)
6、UltaEdit-32(十六进制编辑器,用于特征码的手工准确定位或修改)
特征码修改包括文件特征码修改和内存特征码修改,因为这二种特征码的修改方法是通用的。所以就对流行的特征码修改方法作个总节。
1、修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制。
2、适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下文件能否正常使用。
1、修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了。
2、适用范围:特征码所对应的内容必需是字符串,否则不能成功。
1、修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令。
2、适用范围:特征码中必需有可以替换的汇编指令。比如JE,JNE 换成JMP等。
如果对汇编不懂的偏移可以去查看8080汇编手册。
1、修改方法:把具有特征码的代码顺序互换一下。
2、适用范围:具有一定的局限性,代码互换后必须不能影响程序的正常执行
1、修改方法:把特征码移到零区域(指代码的空隙处)执行后,使用jmp指令无条件调回原代码处继续执行下一条指令
2、适用范围:通用的改法,建议大家要掌握这种改法。
1、加冷门壳
举例来说,如果说程序是一张烙饼,那壳就是包装袋,可以让你发现不了包装袋里的东西是什么。比较常见的壳一般容易被杀毒软件识别,所以加壳有时候会使用到生僻壳,就是不常用的壳。去买口香糖你会发现至少有两层包装,所以壳也可以加多重壳,让杀毒软件看不懂。如果你看到一个袋子上面写着干燥剂、有毒之类的字你也许就不会对他感兴趣了吧,这就是伪装壳,把一种壳伪装成其他壳,干扰杀毒软件正常的检测。
2、加壳改壳
加壳改壳是病毒免杀常用的手段之一,加壳改壳原理是将一个木马文件加上upx壳或者其它壳后用lordpe将文件入口点加1,然后将区段字符全部去掉,然后用od打开免杀的木马在入口上下100字符内修改一些代码让杀毒软件查不出来是什么壳就不知道怎么脱就可以实现免杀的目的,但这种技术只有熟悉汇编语言的人才会,这种免杀方法高效可以一口气过众多杀软也是免杀爱好者应该学会的一种技术。
3、加花指令
加花是病毒免杀常用的手段,加花的原理就是通过添加加花指令(一些垃圾指令,类型加1减1之类的无用语句)让杀毒软件检测不到特征码,干扰杀毒软件正常的检测。加花以后,一些杀毒软件就检测不出来了,但是有些比较强的杀毒软件,病毒还是会被杀的。这可以算是“免杀”技术中最初级的阶段。
4、改程序入口点
修改程序入口点。
何为无特征免杀法?就是脱离传统的定位方法,直接盲免,就对于整体区段进行异或加密,是整体代码发生变换,从而逃脱,杀毒软件的查杀,是当今最流行的方法。
以上所述便是关于为什么免杀程序不报毒的详细解释,如果某个程序怀着其目的性才加上免杀技术,则可以忽略该程序的安全性,如果其制作的初衷便是为了破坏,那计算机就危险了,道高一尺魔高一丈,知名杀软对计算机安全防御的提升也不断在增强,免杀技术也在不断超越,对于中了病毒却一无所知的你来说,这一切你都毫不知情,也算是一种幸福吧。
