作者：A1Pass

    大家好，今天我带领大家学习一些关于木马免杀的相关入门教程。本篇文章的主要目的就是带领那些想学习免杀技术的朋友进入这个神秘领域，使大家读完这篇文章后可以将自身技术水平提高一个层次。但是俗话说得好：‘师傅领进门，修行在个人’，所以这里我讲的一些免杀方法他的免杀效果可能不是很好。因为是带领初学者入门，所以讲的主要是免杀思路与一些免杀工具的使用技巧，但是我会在文章结尾介绍一下主流的免杀思路，以便于各位刚刚入门的朋友自学与提高。

    提起免杀，我们不得不说说杀毒soft的杀毒原理，知己知彼，才能百战百胜吗！让我们先一起看看我们的木马是怎么被杀的吧。

一.杀毒原理

通常，一个病毒防御工作者拿到一个截获或上报上来的病毒时，首先是分析这个病毒文件执行后的动作，所谓“动作”，就是指病毒文件执行后会做哪些操作。例如会生成什么新文件、怎样更改注册表、怎样注册服务、打开什么端口等等。

搞明白这些后，下一步一般会研究这个病毒的文件结构，然后找出与众不同的地方，将其定义为特征码。用这种方式定义出来的特征码叫做文件特征码。由于文件特征码都存储在硬盘的文件里，所以我们做免杀时只要将未运行的文件做一下处理就可以了。我们骇客把这种针对文件特征码的免杀工作叫做“文件免杀”。

特征码还有一个分支，即内存特征码。所谓内存特征码就是指木马文件运行后释放到内存时所存在的特征字符串，它的原理大体与上面介绍的文件特征码一样。而针对内存的免杀方法叫做“内存免杀”，另外还有例如启发式验测、主动防御等等都是我们现在涉及不到的。

然而当特征码定义出来之后，它就会被提交到另外的一个部门，然后进入病毒定义库，当用户更新后，以后杀毒soft在碰到符合要求的文件时就会将其毫不忧郁的杀掉！也就是说，杀毒soft只认特征码，不认文件。杀毒soft就像恐怖片里的僵尸一样，只会闻呼吸的气味，眼睛看不到东西，所以影片主角只要带个氧气瓶后僵尸就找不到他了。由此可见，只要我们把其中的特征字符改掉后杀毒soft就不会查杀我们的木马了。怎么改呢？往下看……

二．免杀技巧

找木马文件里的特征字符是一件很复杂的事，这里不作主要介绍。既然是菜鸟，我们就要有菜鸟的菜方法！

不知道大家听说过加壳没有，“壳”是为保护soft程序不被非法修改而诞生的。经过加壳后，soft的内部结构会完全改变成另外一个样子，但是当这个soft在运行时又会完全将数据恢复到原样释放到内存里运行。看到这大家应该都明白了，这不就是加密解密的过程吗？对！其实我们免杀时常说的加壳，其实就是加密。

但是我们要怎样加密呢？这里我给大家介绍一个叫做“北斗”的加壳soft（如图1）。

通过界面我们可以看出来也不过如此，不就是个小程序吗？没错，可就是他却能让我们的木马躲过可恶的杀毒soft！我们将需要加密的小程序托甩到这个程序界面上，然后松开鼠标，我们的木马就被读取了（如图2）。

[1] [2] [3] [4] [5] [6] [7] 下一页