如何让木马达到免杀效果
现在的杀毒软件对任何病毒的查杀,都是建立在拥有该病毒的特征码的基础上的。黑客为了让木马程序不被杀毒软件查杀,会通过各种方法对它进行修改或伪装,也就是进行免杀处理。目前常见的免杀方法有加壳、加花(指令)、修改特征码、变换入口点、入口点加密等。同时当前主流的杀毒软件都采用了复合特征码,因此很多时候通过一种方法很难达到免杀效果,这时需要几种方法配合才能起到免杀效果。 实战程序免杀 一、免杀从程序内部开始 准备好我们要免杀的黑客程序。首先进行加密处理,运行加密程序MaskPE,它是一款自动修改PE文件的软件,可以将程序原有的源代码打乱,这样就能生成免杀的木马或病毒。 点击“Load File”按钮选择免杀程序,在“Select Information”列表中任意选择一项,最后点击“Make File”按钮,在弹出的窗口中对加密的文件进行另存即可。 二、花指令迷惑杀毒软件 运行“超级加花器”,这是一款全新的加花程序。首先将服务端程序直接拖动到程序的主界面进行释放,接着在“花指令”下拉列表中选择一种花指令,单击“加花”按钮后就可以了。这样,一段花指令就被成功地添加到黑客程序代码的最前面,那些从文件头提取特征码的杀毒软件也就无能为力了。 三、加壳阻止杀毒软件分析 然后进行加壳处理,这样可以阻止杀毒软件将获取的源代码和特征码进行比对。运行Private exe Protector这款加壳程序,在出现的“应用程序”列表中设置需要免杀的黑客程序。再将下面“设置”选项中将“动态保护”勾选上,最后点击工具栏中的“开始保护”按钮即可马上进行加壳处理。 四、改入口点防特征码对比 最后进行更改入口点的处理,它的目的和加壳处理相似,就是让杀毒软件无法从黑客程序的入口点来获取源代码。运行PEditor这款软件修改程序,点击“浏览”按钮选择黑客程序,找到“入口点”这个信息选项,接着在原来的数值的基础上加上1,接着点击“应用更改”按钮就可以完成刚才的设置确认。 当黑客程序进行完免杀处理以后,首先要使用多款杀毒软件对它进行杀毒检测,没有安装杀毒软件的用户也可以通过一个多引擎样本查毒网站进行检测。 如果已经不被杀毒软件所查杀了,还要在本地测试经过免杀处理后的程序是否能正常的运行。只有进行了这一系列测试以后,才能确定该黑客程序是否免杀成功。
怎么搞免杀木马
免杀分为2种
需要一些基础的汇编知识
((1、主动免杀
1.修改字符特征:
2.修改输入表:查找此文件的输入表函数名,并将其移位。
3.利用跳转打乱文件原有结构。
4.修改入口点:将文件的入口点加1。
5.修改PE段:将PE段移动到空白位置
((2、被动免杀
1.修改特征码:用一些工具找出特征码并针对特征码做免杀处理。
比如说OD
2.使用Vmprotect加密区段。
3,可以用一些比较生僻的壳对木马文件进行保护。
我现在做就是改特征码后加上几个壳
然后达到免杀效果,也许时间不会很常久,但是也能坚持一端时间
呵呵
不过对于现在的类似瑞星2008
先强行关闭
他的杀软
才是最行之有效的.他们杀毒不靠特征码
木马怎么做免杀,会的写详细点?本人菜鸟!
如果你想学习免杀技术:1.基础的汇编语言 2.修改工具(不指那些傻瓜式软件).如:
OllyDbg . PEditor. C32ASM . MYCCL复合特征码定位器.UE .OC. 资源编辑器等.还有一些查壳 脱壳软件(如:PEID RL脱壳机等) . 以下是常用的几种免杀方法及工具:一. 要使一个木马免杀,首先要准备一个不加壳的木马,这点非常重要,否则
免杀操作就不能进行下去。
二.然后我们要木马的内存免杀,从上面分析可以看出,目前的内存查杀,只有
瑞星最强,其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀
,要进行内存特征码的定位和修改,才能内存免杀。
二.对符其它的杀毒软件,比如江民,金山,诺顿,卡巴.我们可以采用下面的方
法,或这些方面的组合使用.1>.入口点加1免杀法.
2>.变化入口地址免杀法
3>.加花指令法免杀法
4>.加壳或加伪装壳免杀法.
5>.打乱壳的头文件免杀法.
6>.修改文件特征码免杀法.
第三部分:免杀技术实例演示部分
一.入口点加1免杀法:
1.用到工具:PEditor
2.特点:非常简单实用,但有时还会被卡巴查杀.
3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可.
二.变化入口地址免杀法:
1.用到工具:OllyDbg,PEditor
2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳.
3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后
又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址.
三.加花指令法免杀法:
1.用到工具:OllyDbg,PEditor
2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀.
3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去
填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令
的着地址.
四.加壳或加伪装壳免杀法:
1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等.
2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀.
3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的
免杀效果更佳.
五.打乱壳的头文件或壳中加花免杀法:
1.用到工具:秘密行动 ,UPX加壳工具.
2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好.
3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款
工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果.
六.修改文件特征码免杀法:
1.用到工具:特征码定位器,OllyDbg
2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要
达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好.
3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程.
第四部分:快速定位与修改瑞星内存特征码
一. 瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符
串作为病毒特征码,这样对我们的定位和修改带来了方便.
二定位与修改要点:1>.首先用特征码定位器大致定位出瑞星内存特征码位置
2>.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是
字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征
码后,只要把字符串的大小写互换就能达到内存免杀效果.
第五部分:木马免杀综合方案
修改内存特征码--->1>入口点加1免杀法---> 1>加压缩壳--->1>再加壳或多重加壳
2>变化入口地址免杀法 2>加成僻壳 2>加壳的伪装.
3>加花指令法免杀法 3>打乱壳的头文件
4>修改文件特征码免杀法
注:这个方案可以任意组合各种不同的免杀方案.并达到各种不同的免杀效果.
第六部分:免杀方案实例演示部分
1.完全免杀方案一:
内存特征码修改 + 加UPX壳 + 秘密行动工具打乱UPX壳的头文件.
2.完全免杀方案二:
内存特征码修改 + 加压缩壳 + 加壳的伪装
3.完全免杀方案三:
内存特征码修改 + 修改各种杀毒软件的文件特征码 + 加压缩壳
4.完全免杀方案四:
内存特征码修改 + 加花指令 + 加压壳
5.完全变态免杀方案五:
内存特征码修改 + 加花指令 + 入口点加1 + 加压缩壳UPX + 打乱壳的头文件
还有其它免杀方案可根据第五部分任意组合.
怎么彻底杀死木马
中木马群了
要一块弄掉才行
单独的删都弄不干净又重新生成了。
由于木马一般都有服务或驱动来保护他,无论是号称杀毒能力最强的卡巴斯基还是NOD32,无论是金山毒霸还是瑞星杀毒,都不行。
可以先试试安全模式下用杀毒软件杀毒。但一般情况下,传统的杀毒软件很难清除,推荐用工具。
杀毒软件不行就用专门的工具。
中流氓软件了。弹广告的
最近好多啊。
这些专杀工具很有效的,你抓紧试试了。效果由强到弱,有兴趣你可以都试试,
都是绿色的软件,与当前的杀毒的和工具都不冲突。
1.windows清理助手3.0
对流行木马和IE弹广告窗口等有奇效!!!
地址
http://www.arswp.com/download/arswp2/arswp2.rar
简介:短小精悍,首选工具!
-
2.强力推荐
贝壳安全的木马专杀
(这个是玩网络游戏的人必备的工具,文件超小,但扫描效率很高)
下载地址
http://www.beike.cn/
《贝壳木马专杀》是国内首款专为网游防盗号量身打造的,完全免费的木马专杀软件;
小于500kb的轻小体积,纯绿色的免安装模式,适合玩家快速下载使用。
-
3.
360
出的顽固木马专杀
http://www.360.cn/killer/360compkill.html
简介:可查杀机器狗、U盘病毒、磁碟机,
最新各类流行木马等数十种顽固型木马;并修复360安全卫士及360保险箱
什么是免杀木马
免杀——顾名思义就是能避免被杀。
免杀木马就是能不让杀软识别为恶意代码的木马。
木马经过加壳后(可能不止一次,加壳算法也可能不止一种)能不被某些(可能所有)安全软件(靠特征码分析)发现,就成了免杀木马。
不过这种免杀只是相对的,如果安全厂家得到恶意代码,就会分析,然后更新特征库(病毒库)就可以查杀。
如果你用的是HIPS,那就基本不怕,因为不管恶意代码如何隐藏,最后都会露出真面目——调用相关的函数(来攻击),然后被 HIPS 拦截。但是如果恶意代码利用了系统漏洞(例如利用系统对特殊数据错误分析所造成溢出等等来进行攻击),那就麻烦了(*^__^*) 嘻嘻……
如果你遇到了很新的木马或者传播不广的木马,杀软可能查不出(因为还没有对应的特征码)。为了解决这种情况,各安全厂家都在想办法,常见的有启发式扫描和智能 HIPS。(貌似卡巴斯基实验室有一种新的东东,能更快的找到恶意代码的源头,好像会在 卡巴 2011 里用)
木马杀是什么意思
下载软件请到正规软件官网下载,也可以到各大应用商店中下载软件,请勿到第三方网址进行下载。若手机中存在木马或者病毒程序,请尝试按照以下步骤进行清除:安装一款安全软件(例如:手机管家等)。以手机管家为例,打开手机管家,点击主界面上的一键体检即可自动检测手机中存在的病毒,点击一键清除即可删除,若提示无法删除请尝试获取ROOT权限后进行尝试。都无法进行解决请尝试到手机品牌官网下载刷机包和工具对手机进行完整恢复,若无法自行处理请送到手机品牌官方售后进行维修。
木马加花免杀是什么意思?
木马,就是服务端,你一运行就会中木马,制作木马的人就可以通过远程控制你的电脑,盗取你电脑上的资料,如果是ADSL用户可以用你宽带的钱上互联星空买东西,(常见的木马有灰鸽子。)
木马免杀是通过一些手段给木马加上了一些伪装的东西来欺骗杀毒软件,杀毒软件在查杀的时候检查不出来,特征码已被修改,加花,加壳就象是一条狼,批上了羊皮,混在羊群里也不被察觉,大概就这意思了。
超级加花器1.1(7夕情人节版),PECompact只要用这2个就可以过卡巴,瑞新,江民,金山,诺顿,具体配置自己慢慢去摸索,专杀很难过了。不过不必管专杀,主要是过卡巴就行。
如何才能知道电脑有没有中“木马病毒”?
具体如下:一、CPU的利用率在电脑没有处理任何任务的时候通常都是百分之零到百分之一的如果系统没有运行任何程序和任务而且利用率超过10%那一定是有古怪的,这个时候就千万要注意了。二、进程,电脑在没有任何处理任务和程序的时候一般进程都是很熟悉的,如果进程中有很多莫名其妙的点exe的进程那么这个时候可要注意了。一般系统进程都是很标准的英文或者英文所限,例如alg.exe,如果实在无法判断某一个进程是否为病毒木马程序,可以把这个进程的名字记下来,百度一下马上就会有答案了!三、看网络流量及端口号看网络流量这里以360防火墙为例吧
电脑怎么样查杀木马病毒?
在用电脑的过程中,经常会遇到一些木马病毒,那么呢?我分享了电脑查杀木马病毒的方法,希望对大家有所帮助。 电脑查杀木马病毒方法一 木马方面就用金山急救箱或者360急救箱。我的办法,进入安全模式用卡巴全盘查杀和金山急救箱,然后把卡巴解除安装掉,安装NOD32和360急救箱,再次进入安全模式进行查杀。如果这阵容还不行,小红伞、诺顿、大蜘蛛等杀软用一个遍!在牛的病毒也不会逃过这么多的杀软的围剿吧!除非你中了僵尸病毒!如果是那样换电脑吧 呵呵,只要上过网的人,我就不信有没中过不病毒的!别担心! 1***买一套防毒软体***建议买正版*** 2***双击滑鼠,开启防毒软体。 3***点选〈查杀病毒〉选项。发现查杀开始了。 4***等待…… 5***要是查到了病毒,会自动弹出是否删除、防毒或隔离之类的选项***所有选项都一样***,点选防毒,就OK了。 6***继续等待…… 7***再次发现病毒,重复第五步…… 8***防毒完成后,点确定,全部OK。 之后,你就按时给防毒软体网上升级,***开启防毒软体有升级选项***,随时查杀病毒。最好按装一个防火墙遇到不明档案或攻击,会自动阻隔!而且今后少去一些小网站下载东西,就好了。 任何病毒在计算机中都是以档案的形式存在的,我们要认识病毒就必须从它的基本存在开始,那我们可以来看一下病毒一般都隐藏在哪里?因为任何病毒还有恶意软体,其本身都是存在一定目的而存在的,因此很少有病毒像正常安装的软体一样有自己独立的目录。 首先,我们需要检视所有隐藏的档案,因为病毒并不会像普通程式一样告诉你它存在,一个好的程式开发者在开发病毒的同时应该也在思考如何让病毒存活的更长,因此就必然需要考虑隐藏病毒档案,现在的防毒软体不断的在更新自己的病毒库,但病毒的出现总是早与防毒软体的,甚至是现在认为很先进的主动防御,其本质只能对付有类似病毒特征的威胁,而无法阻止新病毒的产生。 其次,检查目录或档案的建立时间,并可能发现毒从何来。如今大部分病毒的档案都是存在于系统根目录,这就需要使用者了解计算机的基本档案及型别。但对于遍历所有碟符的就需要细心了。Windows自带的档案搜寻功能可以派上用场。 尽管它复制的到处都是,但这种病毒都只有一个主程式档案,档案大小必然一致。开启档案搜寻的高阶功能,填入EXE档案型别并把档案的大小输入,然后按下回车键,接着藏在您硬碟每个角落的病毒就会被暴露无疑。利用建立时建排序,您可以发现第一个攻击您机器的病毒了。现在所有的病毒资料档案几本都在眼前了,至少是病毒能对你发动攻击的主要成分,那么就请删除它们,把您找到的与任何与病毒相关的EXE、DLL、资料全部删除,但此时是存在威胁的,因为很多病毒是伪装成关键专案的。 另外还是请您非常的小心谨慎,别把不是病毒的档案给误删了,那可是致命的错误!赛门铁克的误杀事件就是因为删除了系统的关键档案。在处理完硬碟病毒后,千万不要重起计算机,那可能会导致前功尽弃,因为有的病毒的正身我们并不能如此轻易的找到。如果有些病毒不以EXE的身份出现,而是其它的比如、RAR等,我们的档案尺寸搜寻法一样适用,换个副档名就行了。不过对于寄生在引导区的病毒需要格外谨慎。 二、进一步发现病毒 硬碟上的病毒虽然已被我们斩草除根,但仍然有许多事情需要我们去做。斩草要除根,因此我们必须修改登录档,系统服务的资讯都储存在登录档里。首先应该做的事是仔细检查你的服务列表,仔细核对每一个没有描述的服务,看是否和你刚结束掉的程序有关。对于中文版Windows的使用者来说,查出病毒服务是有一定优势的,原因说来比较可笑,那就是国外写病毒的程式设计师不懂中文,因此他们不会用中文的描述来将自己伪装成系统服务。因此对于一切英文描述的服务也应该格外注意。 当然现如今的病毒很多都会套接系统的关键程序,它将系统正常的程序进行伪装,或正常程序的载入专案中加入自己的连线。我们可以通过冰刃、卡卡上网助手等工具确定系统的程序项是否被HOOK是否是正常的程序项。当确保程序是安全的,那我们就可以开始修改登录档了,先检查系统起动时自动执行的注册项,看有没有可疑的程式,除去正常软体需要启动时执行外,删除所有不相关的启动项。系统本身的关键启动程式不会放在run中,对于系统执行最关键的其实是服务。不过当你在这里发现病毒时先不要急于删除键值,您应该将它记录下来,看看它对应的程式是否已被你备案。然后将病毒程式可能的名字都复制下来,逐个在登录档中搜索,把找到的所有的匹配项全部删掉。不过这样做还是有一定的危险性,建议在修改登录档前必须做备份。在登录档的查杀和扫描工作结束后,需要再次检查程序列表确保无误后,就可以重起计算机看看病毒是否会再次发作了。 电脑查杀木马病毒方法二 一、使用防毒软体进行防毒 首先进入“安全模式” 进入方法:开机在进入Windows系统启动画面之前按下F8键,接着选择“安全模式”即可!***此方法适用于windows xp和windows 7*** 直接执行防毒软体进行查杀即可,多查杀几遍,一般的病毒还是能轻松清除掉的,如果还是查杀无效,甚至防毒软体无法执行的情况,请看下一种清除病毒的方法。 二、使用系统急救箱进行防毒 首先进入“安全模式” 2、这里我推荐360系统急救箱和金山系统急救箱,当然还有其他的系统急救箱,你可以多下载几款试试,基本一些顽固的木马病毒都可以清除的。 三、使用病毒专杀工具进行防毒 这里需要自己判断一下自己中的是什么病毒,中了病毒后,你的系统会出现什么情况,是弹出倒计时的方框还是下载的软体被破坏之类的,你可以根据这些特征,在百度或者其他搜寻引擎进行搜寻,检视是哪种病毒,然后下载病毒专杀工具,然后进行查杀,最好是进入安全模式进行查杀。 四、系统重灌或者还原系统 假如你有安装系统还原的软体可以进行系统还原或者你可以进行系统从新安装,这样也能清除掉病毒。从新安装系统后,最好是再用防毒软体进行查杀或者用系统急救箱再一次进行防毒,这样会比较保险一点。注意要进入安全模式进行查杀病毒。
预处理常用的方法有哪些?
一、混凝-絮凝混凝是指向水中投加一定剂量的化学药剂,这些化学药剂在水中发生水解,和水中的胶体粒子互相碰撞,发生电性中和,产生吸附、架桥和网捕作用,从而形成大的絮体颗粒,并从水中沉降,起到了降低颗粒悬浮物和胶体的作用。二、介质过滤介质过滤是指以石英砂或无烟煤等为介质,使水在重力或压力下通过由这些介质构成的床层,而水中的的颗粒污染物质则被介质阻截,从而达到与水分离的过程。粒状介质过滤基于“过滤-澄清”的工作过程去除水中的颗粒、悬浮物和胶体。工业水处理在工业用水处理中,预处理工序的任务是将工业用水的水源——地表水、地下水或城市自来水处理到符合后续水处理装置所允许的进水水质指标,从而保证水处理系统长期安全、稳定地运行,为工业生产提供优质用水。预处理的对象主要是水中的悬浮物、胶体、微生物、有机物、游离性余氯和重金属等。这些杂质对于电渗析、离子交换、反渗透、钠滤等水处理装置会产生不利的影响。