免杀部分经验

 .脱壳解密

脱壳在木马免杀中由为重要！。。所以希望大家好好学习脱壳

脱壳的好坏直接影响到木马免杀效果（如果不完全脱壳，在<定位内存特征码>可能会使定位中没发现特征码但是运行中又发现木马。）

2.定位特征码

一般从大范围定位后逐渐缩小范围（字节型）

（个数型）一般从生成100个数的大致定位特征码后转入字节型定位。

单一文件特征码定位：CLL MYCLL multiCCL
复合文件特征码定位：MYCLL multiCCL

内存特征码定位： OD（一半一半定位） MYCLL multiCCL   [一般都要确定你的文件是否完美完全脱壳后在进行文件特征码定位]

3.特征码修改

简单的等效代码转换如下：（不过有时改后也损坏文件所以看情况）
push　变　pop　
je   变　jnz
add 变 sub
add ecx,2 可以改为　sub ecx,-2
加ecx内存器＋2 减ecx内存器-2　　- -2得＝2

上面的等效代码用不了还是乖乖用，JMP跳转法把特征码转移

*******************************************************
网页木马类： JS html htm asp 等

1.拆分变量。

用&连接符号，拆分变量


2.加入垃圾代码。


3.等值代码修改
<html></html>

<htm></htm>

把html全部改htm 效果一样


4.代码添零


5.编码加密

 

1   定位在PE文件头。
方法1  手工修改PE头。或用lord PE重建。  
方法2   定位从400开始定位。一般用于瑞星
2   定位出现死循环。
方法1 PE头加1后再定位
方法2 从400开始定位，更改分块个数
3   定位出特征码，改的时候出现重定位，无法修改。
方法 可以使用lord PE 重建PE 功能实现清除重定位。
4   定位在输入表位置
方法1   修改输入表
方法2   最直接的就是直接重建输入表 工具import REC
5   定位在末尾的配置信息
方法1   这一般是金山的数据流。。选择上一大段   更改大小写即可，
6   OD使用保存时   没有“所有修改”
这个问题我也不清楚。个人感觉是没有jmp成功。或者分开来保存。或用鼠标拉上修改的部分来保存
7   定位的特征在OD中用什么方法都修改不了
并不是非要修改定位出来的特征码，修改他上面或下面的2。3行 乃至4。5行 有时候都是可以免杀的。