木马免杀,在国内应该起源于05年吧.从那时单一特征码到现在复合特征码,杀毒软件从无主动防御到
有主动防御.免杀技术越来越难.但是万变不离其宗--改特征码.到现在一些辅助软件的行为查杀.
以下讲解都是以远程控制软件为例(这里补充一个概念,木马的反弹技术,就是服务端主动连接客户端.
何谓主动连接呢,你只要把客户端软件在本机上开启后,中马的机子会主动连接上你的那个软件,而不必你
去找他的IP,再与他连接,这样省去了不少麻烦)
因为现在的主动防御太强悍,尤其是卡巴,瑞星的主动防御是基于特征码,所以很容易过.选远控软件的
时候应该选一个本身就过杀软的,如PCSHARE,iRaT+Classic,gh0st等等,我个人觉得这几个软件都不错,而
且免杀容易.
行为查杀:大多数的木马有默认的释放路径,而且安装好后有几个专用名词,如灰鸽子安装好后,就用"
灰鸽子安装完毕","黑防鸽子"安装好后有"黑防专版"等字样,这些都是作为行为查杀木马的特征.配置时候
把路径改掉,配置好后用C32ASM把里面的字符找到后替换掉就可以了,详情您可以点击他可
以帮你解决所有的有的安全隐患。
最关键的我还是认为是特征码,也许大多数的人认为是主动防御.因为从我用马的经验来说,像
PCshare,iRaT+Classic等,只要改了特征码后,主动照过.因为这些软件本身就过杀软的主防.讲一下我改特
征码的经验吧:
1,定位出特征码后,不要急着改特征码,应该先看看前面与后面的,我定位PCSHARE的时候定位出
system.sys(小数点是被杀的,也就是特征码),而我把小数点前面的system改成大写后就过那款杀毒软件
了。这就说,不要定位到哪里,就改到哪里。
2,定位到CAll时,应该试试这样:例,定位到call 12345678,这样一个,你试试改成 call 12345677
,就是减1,这种方法很有用
阅读(460) | 评论(0) | 转发(0) |
