软件过免杀的方法有多种,以下是一些常见的技术和步骤:
去头加花
使用工具如OllyDbg和PEditor,打开无壳木马程序。
将原入口点加1或修改入口点的前二句移到零区域去执行,然后再跳回到入口点的下面第三句继续执行。
最后用PEditor把入口点改成零区域的地址。
多次加壳
使用主流压缩壳对程序进行多次加壳,注意每次加壳不要使用相同的壳。
加壳后再次进行去头加花,使壳变型,从而躲避杀毒软件的检测。
资源重建
修改程序的资源文件,如图标、版本信息等,以改变病毒特征码,使杀毒软件误认为它是正常的文件。
修改入口点
通过修改程序的入口点,使杀毒软件无法正确识别程序的启动位置。
加花指令
在程序的零区域插入无意义的指令(花指令),以阻止反汇编程序或增加反汇编的难度。
使用免杀工具
利用一些专门的免杀工具,如小七免杀工具包,来辅助完成免杀过程。
关闭杀毒软件的部分功能
在进行免杀时,可以暂时关闭杀毒软件的实时防护功能或可疑文件上传功能,以减少被检测的风险。
针对特定杀毒软件的免杀方法
例如,360杀毒的免杀方法包括替换资源文件、修改入口点、加壳等。
对于Windows Defender,可以通过修改文件资源伪造成正常文件来绕过。
打乱壳的头文件或壳中加花
使用工具如秘密行动、UPX加壳工具,对壳进行加壳和伪装,以增加免杀效果。
避免使用常见壳
尽量使用不常见的壳,或者自己制作壳,以避免被杀毒软件轻易识别。
请注意,免杀技术可能涉及违反软件使用协议,并且可能涉及法律风险。在进行免杀操作时,请确保你有合法的权利和充分的了解。