在杀毒软件越来越强的攻势下，黑客也在一天一天的与杀毒软件做战.在这样的战中谁也不想输.那么就让我们来看看他们到底是怎样工作.这样我们就有的防了.

首先我来说说目前杀毒软件常用的杀毒模式。(共三种)

1. 文件查杀

杀毒软件对磁盘中的文件进行静态扫描，一旦发现文件带有病毒库中的病毒特征代码就给予查杀.

2. 内存查杀

杀毒软件把病毒特征代码释放到内存中，然后与内存中的文件进行比对，发现有文件中带有病毒特征代码就给予查杀.

3. 行为杀毒

杀毒软件用木马运行后的一些特定的行为作为判断是否为木马的依据

下面分析一下目前木马躲杀几种手段，主要针对 文件查杀 和 内存查杀

1.加壳免杀

大家应该都会，建议你选择一些生僻壳、强壳、新壳，或者加多重壳。

2.修改壳程序免杀

主要有两种：一是通过加花指令的方法把壳伪装成其它壳或者无壳程序。

二是通过reloc类软件修改壳的区段入口点。

3.修改文件特征代码免杀

此方法的针对性是非常强的，就是说一般情况下你是修改的什么杀毒软件的特征代码，那么就只可以在这种杀毒软件下免杀。主要方法是：直接修改法 和 跳转修改法。其中跳转修改法可以用一些软件来做到.

4.加花指令免杀

此方法通用性强，而且效果好。主要有两种：加区加花 和 去头加花。
例:黑防鸽子:找入口点就找:00482274(黑防鸽子的零区域). 再写:jmp 004A1E48 (入口点) 再改入口点:00482274 用maskPE2.0加密
004A1E48 > 入口点

5.修改内存特征代码

目前内存杀毒的杀毒软件强的并不多。比如：KV 虽然有内存杀毒但是它的内存病毒库是非常弱的，基本没有什么东西。卡巴斯机 的内存杀毒其实不是真正意义上的内存杀毒，大家可以测试，木马在卡巴斯机下一旦文件免杀，内存也就免杀了。

内存杀毒强的我个人认为还是我们国内的杀毒软件瑞星。

实例:黑防鸽过所有的杀毒软件包内存

第一步:修改瑞星内存特征码,搞定瑞星内存查杀.

[特征] 00012B3F_00000004 ----0041373F ---add改成sub 可成功
0041373F ? 0050 78 ADD BYTE PTR DS:[EAX+78],DL

[特征] 00068BEC_00000004 ----004697EC (可直接改--大小写)

[特征] 0006D2D7_00000004 ----0046DED7 (可直接改--大小写)

[特征] 0009ADF8_00000004 ----0049B9F8----add改成sub 可成功(或跳转)
0049B9FA 0000 ADD BYTE PTR DS:[EAX],AL

[特征] 0009B894_00000004 ----0049C494 (可直接改---大小写)

[特征] 000A15BF_00000004 ----004A21BF (可直接改---中文替换)

安全
[特征] 000A15DF_00000004 ----004A21DF (可直接改---中文替换)
第八军团网络安全
第二步:手工添加花指令,以免杀卡巴和江民.

004A1E48 >入口点

在零区域: 00414188 手工添加以下花指令:
push eax

pop eax

add esp,-1

inc esp

push 入口地址

retn

第三步用:用: eXPressor-PE压缩程序或其他工具都行.

教你的小马怎么躲避 各种杀毒软件.07年2月分的方法,只想让大家知道是怎么过的.也好跟 那些自己说自己是 黑客的人 装装

[此贴子已经被作者于2007-4-15 11:28:44编辑过]