软件做免杀的方法主要有以下几种:
特征码免杀
基本思想:通过破坏病毒或木马固有的特征码(如特定的字符或函数调用)来达到免杀的目的。特征码定位工具有CCL、VirTest等。
加壳免杀
原理:软件加壳是一种加密手段,将程序代码加密后变成PE文件里的一段数据。执行加壳文件时,会先执行壳,再由壳将已加密的程序解密并还原到内存中。常用的分析工具有ollydbg、010Editor等。
步骤:
运行加密程序MaskPE,将程序原有的源代码打乱,生成免杀的木马或病毒。
运行“超级加花器”,在代码最前面添加花指令,迷惑杀毒软件。
运行Private exe Protector等加壳程序,对程序进行加壳处理,阻止杀毒软件分析。
使用PEditor等工具修改程序入口点,防止杀毒软件从入口点获取源代码。
分离免杀
原理:将shellcode(恶意代码)和shellcode loader(加载器)分离,使杀毒软件仅检测到正常文件,而不会执行恶意代码。
步骤:
将shellcode写入到图片或其他非可执行文件中。
通过加载器将shellcode读取出来,加载进内存执行。
花指令迷惑
原理:在程序代码最前面添加花指令,使杀毒软件无法从文件头提取特征码进行比对。
步骤:
运行“超级加花器”,选择花指令并进行添加。
针对特定杀毒软件的免杀
方法:针对不同的杀毒软件(如360、Windows Defender、卡巴斯基等),采用不同的免杀手段。例如,修改文件资源伪造成正常文件,添加签名、文件名、图标、属性信息等,以绕过杀毒软件的检测。
流量免杀
原理:通过MSFVenom等工具进行流量免杀,将恶意代码加密后通过流量发送,杀毒软件难以检测。
步骤:
使用MSFVenom进行加解密处理。
通过流量发送加密后的恶意代码。
基于Tauri+Rust的免杀马生成工具
工具介绍:使用Tauri和Rust开发的免杀工具,支持多种杀毒软件的免杀,如Windows Defender、360、火绒等。
使用方法:
使用工具生成免杀马。
针对不同杀毒软件进行特定的免杀设置,如更换加密方式、加载方式等。
建议
选择合适的免杀手段:根据目标杀毒软件的特点选择合适的免杀手段,以提高免杀成功率。
多次测试:在本地和不同环境下多次测试免杀后的程序,确保其正常运行且不被杀毒软件检测到。
持续更新:杀毒软件会不断更新特征码和检测手段,因此需要定期更新免杀工具和手段。