免杀工具包(免杀app下载)

怎么做免杀。。

手工免杀分类：

1.文件免杀和查杀:在不运行程序的前提下使用用杀毒软件进行对该程序的扫描，所得结果。

2.内存的免杀和查杀:判断的方法1>运行后,用杀毒软件的内存查杀功能.

2>用OD载入,用杀毒软件的内存查杀功能.

什么叫特征码：

1.含意:能识别一个程序是一个病毒的一段不大于64字节的特征串.

2.为了减少误报率,一般杀毒软件会提取多段特征串,这时,我们往往改一处就可达到

免杀效果,当然有些杀毒软件要同时改几处才能免杀.(这些方法以后详细介绍)

3.下面用一个示意图来具体来了解一下特征码的具体概念

特征码的定位与原理：

1.特征码的查找方法:文件中的特征码被我们填入的数据（比如0）替换了，那杀毒软

件就不会报警，以此确定特征码的位置

2.特征码定位器的工作原理:原文件中部分字节替换为0，然后生成新文件，再根据杀

毒软件来检测这些文件的结果判断特征码的位置

认识特征码定位与修改的工具：

1.CCL(特征码定位器，由于杀软的升级，现已过时)

2.MYCCL(特征码定位器，由程序员Tanknight在CCL的基础上改进)

3.OllyDbg(特征码的修改，可用于反汇编)

4.C32A**（特征码的修改，也可用于反汇编）

5.OC(用于计算从文件偏移地址到内存地址的小工具)

6.UltaEdit-32(十六进制编辑器,用于特征码的手工准确定位或修改)

特征码修改方法：

特征码修改包括文件特征码修改和内存特征码修改，因为这二种特征码的修改方法

是通用的。所以就对目前流行的特征码修改方法作个总节。

方法一:直接修改特征码的十六进制法

1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.

2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下文件能

否正常使用.

方法二:修改字符串大小写法

1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.

2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.

方法三:等价替换法

1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.

2.适用范围:特征码中必需有可以替换的汇编指令.比如JE,JNE换成JMP等.

如果对汇编不懂的偏移可以去查看8080汇编手册.

方法四:指令顺序调换法

1.修改方法:把具有特征码的代码顺序互换一下.

2.适用范围:具有一定的局限性,代码互换后必须不能影响程序的正常执行

方法五:通用跳转法

1.修改方法:把特征码移到零区域(指代码的空隙处)执行后，使用jmp指令无条件调回原代码处继续执行下一条指令

2.适用范围:通用的改法,建议大家要掌握这种改法.

木马免杀的综合修改方法：

文件免杀方法：

1.加冷门壳

举例来说，如果说程序是一张烙饼，那壳就是包装袋，可以让你发现不了包装袋里的东西是什么。比较常见的壳一般容易被杀毒软件识别，所以加壳有时候会使用到生僻壳，就是不常用的壳。现在去买口香糖你会发现至少有两层包装，所以壳也可以加多重壳，让杀毒软件看不懂。如果你看到一个袋子上面写着干燥剂、有毒之类的字你也许就不会对他感兴趣了吧，这就是伪装壳，把一种壳伪装成其他壳，干扰杀毒软件正常的检测。

2.加壳改壳

加壳改壳是病毒免杀常用的手段之一，加壳改壳原理是将一个木马文件加上upx壳或者其它壳后用lordpe将文件入口点加1，然后将区段字符全部去掉，然后用od打开免杀的木马在入口上下100字符内修改一些代码让杀毒软件查不出来是什么壳就不知道怎么脱就可以实现免杀的目的，但这种技术只有熟悉汇编语言的人才会，这种免杀方法高效可以一口气过众多杀软也是免杀爱好者应该学会的一种技术。

3.加花指令

加花是病毒免杀常用的手段，加花的原理就是通过添加加花指令（一些垃圾指令，类型加1减1之类的无用语句）让杀毒软件检测不到特征码，干扰杀毒软件正常的检测。加花以后，一些杀毒软件就检测不出来了，但是有些比较强的杀毒软件，病毒还是会被杀的。这可以算是“免杀”技术中最初级的阶段。

4.改程序入口点

5.改木马文件特征码的5种常用方法（参见“修改内存特征码”）

6.还有其它的几种免杀修改技巧

修改内存特征码：

1.直接修改特征码的十六进制法

2.修改字符串大小写法

3.等价替换法

4.指令顺序调换法

5.通用跳转法

小结：免杀在某种程度上可以说是杀毒软件的对立面，这种技术随着杀毒软件的升级而升级，

从最初的表面查杀到现在的木马行为防御（瑞星），文件实时防毒（金山）等等，

免杀技术都将这些绕过，我们可以看到，杀软每增加一个新功能，免杀新技术就应运而生

用一句古语说，免杀技术是与杀毒软件相生相克的。

学习免杀，你将领略到汇编与反汇编的快乐天堂！

自己看，又是我。

怎么样能让病毒免杀

免杀就是把PE文件修改特征，让杀毒软件的病毒库认不出，我们常说的木马免杀，就是让木马或病毒通过修改躲过杀软查杀，让用户不发现。但杀软报毒不一定是病毒，像扫描工具，所有大型网站做免杀只是为了不带病毒体的文件避免杀软误杀

如果你想学习免杀技术:1.基础的汇编语言 2.修改工具(不指那些傻瓜式软件).如:

OllyDbg. PEditor. C32A**. MYCCL复合特征码定位器.UE.OC.资源编辑器等.还有一些查壳脱壳软件(如:PEID RL脱壳机等).以下是常用的几种免杀方法及工具:一.要使一个木马免杀，首先要准备一个不加壳的木马，这点非常重要，否则

免杀操作就不能进行下去。

二.然后我们要木马的内存免杀，从上面分析可以看出，目前的内存查杀，只有

瑞星最强，其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀

，要进行内存特征码的定位和修改，才能内存免杀。

二.对符其它的杀毒软件，比如江民，金山，诺顿,卡巴.我们可以采用下面的方

法,或这些方面的组合使用.1>.入口点加1免杀法.

2>.变化入口地址免杀法

3>.加花指令法免杀法

4>.加壳或加伪装壳免杀法.

5>.打乱壳的头文件免杀法.

6>.修改文件特征码免杀法.

第三部分:免杀技术实例演示部分

一.入口点加1免杀法:

1.用到工具:PEditor

2.特点:非常简单实用,但有时还会被卡巴查杀.

3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可.

二.变化入口地址免杀法:

1.用到工具:OllyDbg,PEditor

2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳.

3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后

又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址.

三.加花指令法免杀法:

1.用到工具:OllyDbg,PEditor

2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀.

3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去

填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令

的着地址.

四.加壳或加伪装壳免杀法:

1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等.

2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀.

3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的

免杀效果更佳.

五.打乱壳的头文件或壳中加花免杀法:

1.用到工具:秘密行动,UPX加壳工具.

2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好.

3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款

工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.

六.修改文件特征码免杀法:

1.用到工具:特征码定位器,OllyDbg

2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要

达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好.

3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程.

第四部分:快速定位与修改瑞星内存特征码

一.瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符

串作为病毒特征码,这样对我们的定位和修改带来了方便.

二定位与修改要点:1>.首先用特征码定位器大致定位出瑞星内存特征码位置

2>.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是

字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征

码后,只要把字符串的大小写互换就能达到内存免杀效果.

第五部分:木马免杀综合方案

修改内存特征码--->1>入口点加1免杀法---> 1>加压缩壳--->1>再加壳或多重加壳

2>变化入口地址免杀法 2>加成僻壳 2>加壳的伪装.

3>加花指令法免杀法 3>打乱壳的头文件

4>修改文件特征码免杀法

注:这个方案可以任意组合各种不同的免杀方案.并达到各种不同的免杀效果.

第六部分:免杀方案实例演示部分

1.完全免杀方案一:

内存特征码修改+加UPX壳+秘密行动工具打乱UPX壳的头文件.

2.完全免杀方案二:

内存特征码修改+加压缩壳+加壳的伪装

3.完全免杀方案三:

内存特征码修改+修改各种杀毒软件的文件特征码+加压缩壳

4.完全免杀方案四:

内存特征码修改+加花指令+加压壳

5.完全变态免杀方案五:

内存特征码修改+加花指令+入口点加1+加压缩壳UPX+打乱壳的头文件

还有其它免杀方案可根据第五部分任意组合.

免杀的方法

一.入口点加1免杀法:

1.用到工具PEditor

2.特点:非常简单实用,但有时还会被卡巴查杀]

3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可

【二.变化入口地址免杀法:】

1.用到工具:OllyDbg,PEditor

2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳.

3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后

又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址

【三.加花指令法免杀法:】

1.用到工具:OllyDbg,PEditor

2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀.

3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去

填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令的着地址.

【四.加壳或加伪装壳免杀法:】

1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等.

2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀

3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的免杀效果更佳

【五.打乱壳的头文件或壳中加花免杀法:】

1.用到工具:秘密行动,UPX加壳工具.

2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好

3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款

工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.

【六.修改文件特征码免杀法:】

1.用到工具:特征码定位器,OllyDbg

2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要达

到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好

[特征码修改方法]

特征码修改包括文件特征码修改和内存特征码修改，因为这二种特征码的修改方

法是通用的。所以就对目前流行的特征码修改方法作个总节。

[方法一:直接修改特征码的十六进制法]

1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.

2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下能否正常使用.

[方法二:修改字符串大小写法]

1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.

2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.

[方法三:等价替换法]

1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.

2.适用范围:特征码中必需有可以替换的汇编指令.比如JN,JNE换成JMP等.如果和我一样对汇编不懂的可以去查查8080汇编手册.

[方法四:指令顺序调换法]

1.修改方法:把具有特征码的代码顺序互换一下.

2.适用范围:具有一定的局限性,代码互换后要不能影响程序的正常执行

[方法五:通用跳转法]

1.修改方法:把特征码移到零区域(指代码的空隙处),然后一个JMP又跳回来执行.

2.适用范围:没有什么条件,是通用的改法,强烈建议大家要掌握这种改法.

木马免杀的综合修改方法

文件免杀方法：1.加冷门壳 2.加花指令 3.改程序入口点 4.改木马文件特征码的5种常用方法

5.还有其它的几种免杀修改技巧

【七.内存免杀方法:】

修改内存特征码：

方法1>直接修改特征码的十六进制法

方法2>修改字符串大小写法

方法3>等价替换法

方法4>指令顺序调换法

方法5>通用跳转法

壳入口修改法

1.用到工具：压缩壳 OD

2.特点：操作简单免杀效果好

3.操作步骤：首先给木马加压缩壳然后用OD载入，在入口处的前15句中NOP掉某些代码或者等价代换某些代码

【八.输入表免杀方法:】

[一，移位法]

1首先用lordpe打开，目录，导入表找到你要改的函数。比如说CommandLineA

2记下未改前函数的thunkvalue举例：00062922

3将要修改的文件用winhex等16进制形式打开，然后找到该函数的地址，比如说00062988

4将该函数用00填充，移动到新地址如00070000

5保存

6将保存后的文件用lordpe打开，打开计算器，选择16进制，00062988-00062922+00070000，计算结果修改为新的thunkvalue。保存

注：公式->内存地址=RAV+RAV基址，RAV基地址可以在LORDPE中看到.输入表函数名前有两个空格所以RAV的地址要减去2

[二，修改字符法]

今天定位Drat2.9卡巴特征码，是在输入表上！（这时句废话，现在卡巴基本都杀输入表）

[特征] 00025175_00000001 ZwUnmapViewOfSection他的特征码位置是函数后面的那个00

（这个函数我在开始移动过位置，原始DAT文件的特征码是0002516A_00000001，同样是函数后面的那个00）

我开始是选择C32移动位置，LordPE修改输入表，但是不行，后来试过OD指针移位，还是不行！CALL改JMP都不行

我发现LordPE可以修改函数名称！便用C32将ZwUnmapViewOfSection函数后面加了个字符b（你可以随意加字符）

由于LordPE读取输入表函数是从ThunkValue开始，一直到这个连续的字符串后的00处！

由于在ZwUnmapViewOfSection函数后加了个字符b，现在LordPE读取的此处函数为ZwUnmapViewOfSectionb

此时将ZwUnmapViewOfSectionb函数后面的那个b删除！保存下文件，这时就免杀了！

这样一修改，在文件00025175处的16进制代码不是00，而是62，所以卡巴就过了，而用lardPE修改后函数后，文件的输入表的函数还是ZwUnmapViewOfSection，生成服务端可以运行！

【免杀经验:】

1.加区,加花后,再加密,可以比较容易过卡巴----如加密工具vmprotect

脱壳过的木马---加花指令,或加区加花---加密---加压缩壳---再加区加花指令

2.单单加免杀花指令已经不能过卡巴,一定要配合加花后在加压缩壳,才能起到免杀卡巴的效果.

vmprotect加密----再加花-----可过卡巴:

3.加双层花指令免杀法----免卡巴

4.加密---007内存免----加压---免卡巴或内存.

5.双层加密(maskpE)---加压----可过卡巴.

6.maskpe加密---asppack加壳---改入口点加1---可过卡巴

7.加密maskpe----加花或加区加花(用工具)-----加压缩壳---免卡巴

8.北斗对黑防鸽子可加压二次,再压其它压缩壳.以达免杀.

9.加过北斗壳,向上拉滚开鼠标50多次,有一段空代码,可以加花,转移.

10.去头转移入口点---加花----加密(vmprotect)----加压缩==过所有杀毒

11.对付卡巴,加免杀花指令.花指令对瑞星表面查杀一般无效,一般加压缩壳.

12.对付瑞星表面:有些黑软,加区,加花后被瑞星表面杀,可以这样:先加压过瑞星表面,然后加免杀花指令,过卡巴.

13.过瑞星表面的查杀方法: 1.加北斗内存免杀压缩壳 2.加过瑞星表面的专用加密工具. 3.用maskPE加密工具加密源码免杀，要求楼主必须会编程语言，如C语言，E语言等。可以载入IDA中调试，通过修改源码语句。

感谢您的阅读！希望本文对解决您关于免杀工具包和免杀app下载的问题有所帮助。如果您还有其他疑问，欢迎随时向我们提问。