红炉点雪

人人都能过杀软-简单的免杀方法+实战技巧

原文链接:

人人都能过杀软-简单的免杀方法+实战技巧-七岁小毛猴

适合人群:

本人不懂c汇编等语言,但我一样能过杀毒(360/诺顿/avg/nod32等)。
我也没人教就是看了网上教程会了一点点!如果各位大神你们看着不爽,那么请你忍忍不要喷!

免杀方法:

对于一个不懂汇编的人来说,我是怎么过杀软的呢?
后面将会用360做为实例来给搭建演示。

  1. 观察杀毒软件报的病毒名称,如果你修改后文件能正常使用并且杀软报毒名称变了,这样一般就可以过掉。
  2. 不管你怎么换资源或加壳杀软一只报同样的名字,那么就去定位一下特征码。
  3. 不同的杀毒软件免杀的方法略有不同。例如:360报qvm7免杀方法是替换资源文件和版本信息。
  4. 本人常用的免杀方法:替换资源/加花/修改入口点/加壳等。

0x00 免杀前的准备

本次实例将会使用360杀毒来给大家演示。

病毒文件主要以提权EXP老给大家演示!

  1. 安装360杀毒软件,并把360杀毒的几个引擎全部安装上更新最新病毒库。

  2. 我在测试360杀毒的时候发现过几个问题:
    a) 不管你怎么杀360就是不报毒!那么请还原虚拟机!
    b) 360杀毒安装包。有老版本的尽量使用老版本的安装包。应为新版本的即使你关了上传还是会上传。
    c) 本人使用的是360sd_std_4.2.2.4092版本。在安装好后系统防火墙会提示是否开启安全卫士!具体名字记不清楚了,这个地方直接选择拦截就行了,没什么用。如果你选择的放行,那后面你做免杀的时候需要全部关掉360杀毒,选择拦截的话,只需要禁用360杀毒的实时防护功能。

  3. 360杀毒在全部安装完成和补丁升级成功之后需要关掉:可疑文件上传。

  1. 在做免杀时请在断网环境下做!

  2. 360有5个引擎,再过的时候可以一个个去过。

  3. 需要用到工具包:小七免杀工具包(其实就用几个工具而已)

0X01 Ms15-051过360杀毒4引擎

替换资源

上图中是在联网环境下测试:可以看到360云报了!(小红伞本地也是报的!)
开始:

  1. 先断网

  2. 使用下图工具先替换下资源文件,看看360什么情况!

  1. 下图可以看到360已经不杀了!小红伞本地也不杀了!我只是添加了一个版本信息而已!

  1. 联网查杀也是不杀!我就不上图了!这就成功过掉了360杀毒的4个引擎!

修改字符串

扔c32里面!

修改一下:

我们杀一下看看!

也成功过掉了!

添加字符串
扔c32 拖到最后,随便加点东西!


来联网杀一下看看!

过掉了!

0x02 pr 过360杀毒4引擎

修改区段
联网状态下杀一下看看什么情况!360云报!

下面我就在联网情况下过!
使用的工具:

修改区段名称:



0x03 大灰狼远控过红伞

朋友发我的时候是被小红伞干的!

断网环境测试。这个病毒名字一般加一个加密壳就过掉了!我这里加个资源!

红伞本地过掉!

qq管家过掉!

0x04 WCE 过360杀毒4引擎

联网查:
360云报!

断网小红伞报!

我们加花看下变不变!
联网查杀可以看到病毒名字变了!

断网看红伞!已经过掉!

现在本地都过了!就剩联网360云了!
拖c32里面去!拉到最后面!随便改!


成功过掉360 杀毒4个引擎!

0x05 大灰狼远控过瑞星

被干了!
加壳过掉!


0x06 getpassword过百度杀毒

替换资源
百度杀毒默认安装:原始杀一下!

加点东西!过了!


开启监控!测试!无压力!

垃圾字符串
仍c32里面到最后面加点东西!


增加区段
真是渣!增加一个区段!就过了!


0x07 字体提权过百度杀毒(PE打乱)

原始被杀

打乱PE

总结:
要过杀毒就要想尽一切能修改程序还不叫他损坏的方法!

免杀学习资源:


CONTACT