脱去木马的外衣

木马与杀毒软件之间的战斗从来就没有停止过,通过对已知的木马加壳可以再次躲避杀毒软件的查杀。加了壳的木马可以防止被杀毒软件跟踪查杀和被跟踪调试,同时也可以防止木马本身的算法程序被别人静态分析。加壳软件通常可以分为压缩保护和加密保护两种。     

三招躲过杀软围追堵截

大家都知道,主流的杀毒软件在木马查杀主要使用的就是文件监控、内存监控和注册表监控。所以,我们只要让木马通过这三个监控就可以基本实现免杀了。目前网络上流行着很多的加壳,加花工具,当使用这些工具给我们的木马动过手术后,虽然可以躲过文件监控,可是却无法通过内存监控。     

浅析PE文件脱壳技术

如今随着大家对知识产权保护的重视,使得对于自己程序的加壳保护也变得越来越普遍。除此之外,这一技术也被广泛用于病毒和木马之中,使其不易被杀毒软件查杀。其中,PE文件的加壳尤为常见,若想对其进一步的研究,脱壳是必不可少的。本文首先介绍了PE文件结构和现阶段的加壳技术,其次阐述了脱壳原理和常见方法。     

简单免杀过四大杀软

不少刚入道的菜鸟朋友,最为头痛的技术莫过于木马免杀。辛辛苦苫配置的木马程序,到别人机器上就被杀软Kill了。面对杀毒软件的主动防御、内存查杀、核心扫描、未知病毒拦截等技术,新手又该怎么做一个有收获的牧马人？对于高手而言,可以通过C32ASM、OllyDBG、MYCCL等工具对木马进行加花、修改特征码以此来躲过杀毒软件的查杀。可无奈笔者是个懒人一族,实在不想大动干戈似的拿着OllyDBG去免杀一个EXE文件,不过懒人自有懒方法,下面笔者就为菜鸟朋友献上自家的独门秘笈,让你的小马轻松躲过卡巴斯基、金山毒霸、瑞星2009全功能套装、江民杀毒王等四大杀毒软件的查杀,在肉机上安家落户。     

基于变形方法的网页木马免杀技术研究

为了躲避杀毒软件的查杀,网页木马使用了各种变形免杀技术,经过免杀处理的网页木马,杀毒软件难以查杀,必须依靠手动查杀。深入研究了网页木马的多种变形技术,指出了其变形原理及还原技术,有助于快速定位及清除网页木马,保障W eb服务器的安全运营,保障客户的上网安全。     

给木马穿上“隐身衣”

以前我们曾谈到可以通过对木马进行加花指令、加壳等方法打造免杀木马,但这种木马使用时间短,往往只要杀毒软件版本一更新或者更换其它杀毒软件,就能很容易被认出,撕开伪装而被杀之。难道就没有一种很好的方法：让木马做到长时间的免杀吗？ 方法当然有,今天笔者就来介绍一种通过使用“复合定位特征码”的方法,制作一种超级免杀木马,所有杀毒软件按此方法都能过哟!这样的话我们的木马就等于穿上了一层“隐身秘”……     

99秒云鉴定撕碎病毒的伪装

现在大部分杀毒软件都自带了下载后自动查杀病毒的功能,可是即使杀毒软件没有报警,也不一定就是百分之百的安全,因为有些盗号木马的新变种会通过各种免杀技术绕过杀毒软件的追捕,等杀毒软件可以识别这些病毒后自己的账号早已飞入他人的囊中了。所以最新版本的金山毒霸中就增加了一个"云鉴定"的功能,当发现某个文件在试图更改系统设定,自己不能确定是运行程序的正常步骤还是文件被捆绑上了病毒木     

黑客工具免杀加花三部曲

黑客工具虽然被杀毒软件列为病毒，但特征码并没有木马那么多，简单的利用“花指令”即可轻松免杀黑客工具从而躲过杀毒软件的查杀。     

基于干扰免杀技术的云木马查杀引擎的设计与实现

本文阐述了在现代杀毒技术发展的新的形势下,各种杀毒软件查杀木马程序的方法与流程,展望了在新的编程语言环境下,木马程序的发展方向,以及对于传统杀毒软件的不足的地方进行了描述与归纳.概括了各种木马免杀的行为特点,并且针对其特点开发出了一套干扰免杀的新思路,并在原来的传统启发引擎的基础上进行了改进,构造了一个新的云木马查杀引擎,提高了查杀木马的准确性.     

最新免杀版木马“双剑出鞘”

大家都知道木马的“生命力”是比较短暂的，如果未采取加壳等“穿墙过杀软”的附加措施，一旦被安全软件加入病毒库，必将被缴杀。SRAT和“白金”这两款近期流行的木马，大家也许并不陌生，其功能比较全面在此就为大家提供其尚未公开提供下载的最新免杀版，目前可过数十款国内外主流杀毒软件。     

未知木马 别想惹我

目前玩黑的朋友们,都在研究怎么修改木马特征码、加壳加花、修改特殊壳等,想尽办法让自己的木马不被杀毒软件查杀。那么,这些"黑"朋友又是如何防范、检测与清除网络上那些未知木马的呢?     

制作免查杀的超级木马

您是否为您心爱的马儿被杀毒软件无情的屠杀，而感到痛苦万分！您是否辛辛苦苦改好各种杀毒软件的特征码，结果因为一点小错误导致软件某些功能丢失或无法运行，而烦恼万分呢！您是否因为是一个入门级的菜鸟，不会自己编写木马，而选了别人写的马，结果没用多少就已经被杀，而没有了自信呢？今天，小弟就为大家介绍一下如何为木马多层加壳，躲避杀毒软件的查杀，注意本文只是介绍一种思路并让大家学会多层加壳的方法，千万不要以之攻击他人     

不懂编程也“改”木马

今天给大家介绍介绍如何不利用编程知识就可以改装木马。现在的杀毒软件可真是了得。什么样的木马都可以查杀(大多数木马都……)．其中却不包括有些人(当然是高手了)通过各种手段(脱壳．加壳之类的)．来实现木马不被查杀，可是那种方法对于像我这样的菜鸟来说有点望尘莫及，不过我用另一种方法实现了“改装”木马．那就是应用软件Bind来实现。     

首杀木马

新马通辑令:"红心大盗"图片木马杀毒软件测试:瑞星(病毒库更新2008.04.20):未检测出木马,监控系统被劫持。卡巴斯基(病毒库更新2008.04.20):监控系统被劫持,但木马在内存中运行时有提示,并删除了未加密的副本probell.exe文件。McAfee(病毒库更新super data5260):木马运行时候被查杀,但监控系统被劫持需重新启动恢复。江民(病毒库更新2008.04.20):木马运行时未被删除但木马无法正常运行。监控系统正常(木马劫持列表中无江民)。     

捆绑文件分离大法

很多黑心外挂网站都在提供网友下载的外挂中捆绑了木马病毒，本来希望借外挂之力早日“称霸”网游界的玩家因此失去了宝贵的账号和装备．杀毒软件即使能够查杀．在查杀的同时也会把捆绑文件中正常的文件部分一起杀除，怎么才能从捆绑文件中提取出无毒的文件呢7在本刊2004年第6期(无间盗IV——盗亦有盗)一文中曾经介绍了木马捆     

杀毒中阻止病毒文件再生的实用招数

在病毒越来越厉害的今天,中毒后只借助于一些杀毒软件来查杀有时候经常是杀不干净,这就需要手工杀毒,手工杀毒的方法和技巧千变万化,病毒文件往往会不断启动来消耗完你的资源。使得杀毒软件也无法正常启动,在这里只针对阻止病毒文件再生来说说。     

首杀木马

新马通缉令:"摩登王"变种C木马后门杀毒软件测试:瑞星2008(病毒库更新:2008.05.26):木马无法正常运行时,但无法完全清除木马的DLL文件。卡巴斯基(病毒库更新:2008.05.26):木马运行时被完全查杀。江民KV2008(病毒库更新:2008.05.25):木马运行时杀毒软件无反应,当木马注入到explorer exe时,杀毒提示内存错误,但木马依旧运行。     

木马的伪装和免杀技术分析

首先介绍了木马技术的结构和基本功能,描述了木马的发展概况--它的五个发展阶段,及其未来的发展趋势.然后着重从更名换姓、文件捆绑、木马加壳、文件重组四个方面分析了木马的伪装技术.最后从加壳、修改特征码、加花指令、修改内存特征码等方面,分析和介绍了木马的免杀的技术.本文试图通过研究木马的攻击技术,找到防范的途径.     

一招搞定国内所有杀软

在红客路线栏目中，各种各样的木马使用、伪装、传播等，都介绍了许多，但是关于木马的免杀，对于菜鸟们来说，还是一个令人头疼的问题。木马如何才能躲过杀毒软件的查杀呢？我们曾介绍过使用MYCCL定位修改特征码的方法，这种方法百分百有效，但是必须针对不同的杀毒软件进行不同的定位修改，因此非常的麻烦。今天，我们就为大家带来一个至简至易的方法，一次修改过所有的杀毒软件1     

杀毒中的实用招数：阻止病毒文件再生

在病毒越来越厉害的今天,中毒后只借助于一些杀毒软件来查杀有时候经常是杀不干净,这就需要手工杀毒,手工杀毒的方法和技巧干变万化,病毒文件往往会不断启动来消耗完你的资源,使得杀毒软件也无法正常启动,在这里只针对阻止病毒文件再生来说说。