木马软件免杀的方法有多种,以下是一些常见的技术:
入口点加1免杀法
使用PEditor打开无壳木马程序,把原入口点加1即可。这种方法虽然简单,但有时仍会被杀毒软件查杀。
变化入口地址免杀法
利用OllyDbg和PEditor,将入口点的前二句移到零区域去执行,然后跳回到入口点的下面第三句继续执行,最后将入口点改成零区域的地址。这种方法免杀效果较好。
加花指令法
在无壳木马程序的零区域填入准备好的花指令,然后跳回到入口点,最后用PEditor将入口点改成零区域处填入花指令的地址。加花指令具有较好的通用性,可以有效躲避大部分杀毒软件的查杀。
加壳或加伪装壳免杀法
使用冷门壳或加伪装壳的工具,如木马彩衣等,对木马进行加壳处理,以增加杀毒软件分析的难度。这种方法虽然操作简单,但免杀效果可能不长久,且较难躲过一些杀毒软件的查杀。
加密处理
运行加密程序MaskPE,将程序原有的源代码打乱,生成免杀的木马或病毒。这种方法可以有效地迷惑杀毒软件,使其无法识别加密后的代码。
特征码免杀
通过定位和修改特征码,使杀毒软件无法识别恶意软件。这包括字符串、输入表和区段的修改,以及使用行为替换、虚拟机检测等方法。
内存特征码免杀
针对特定杀毒软件(如瑞星),通过修改内存中的特征码来实现免杀。例如,将入口点的第一句PUSHEBP改成POPEBP,或者修改内存中的字符串特征码的大小写。
其他技术手段
包括使用未知格式或漏洞、签名变异、加密与混淆等,这些方法可以使木马软件更难以被杀毒软件检测。
需要注意的是,免杀技术并非万无一失,不同的杀毒软件和安全措施可能会对不同的免杀方法有不同的应对策略。因此,在实际应用中,可能需要结合多种免杀手段,并进行充分的测试,以确保木马软件能够成功躲避杀毒软件的查杀。