在紅客路線欄目中，各種各樣的木馬使用、偽裝、傳播等，都介紹了許多，但是關(guān)于木馬的免殺，對于菜鳥們來說，還是一個令人頭疼的問題。木馬如何才能躲過殺毒軟件的查殺呢?我1門曾介紹過使用MYCCL定位修改特征碼的方法，這種方法百分百有效，但是必須針對不同的殺毒軟件進(jìn)行不同的定位修改，因此非常的麻煩。今天，我們就為大家?guī)硪粋€至簡至易的方法，一次修改過所有的殺毒軟件!

準(zhǔn)備工作

首先，準(zhǔn)備自己需要免殺的木馬，這里我們選擇了查殺率最高的木馬之一——上興木馬。上興木馬是除灰鴿子外最為流行的木馬之一，各大殺毒軟件都針對這類木馬準(zhǔn)備了多套查殺特征碼及手段，因此免殺上興木馬是比較困難的，這也正好用以檢測我們所使用的免殺方法效果到底怎么樣。

另外，以前要制作免殺木馬時，往往必須在系統(tǒng)中安裝多款殺毒軟件以進(jìn)行免殺效果檢測，反復(fù)安裝卸載殺毒軟件非常的麻煩。這里我們準(zhǔn)備了一個在線查毒的網(wǎng)站“VlrSCANorg”。這是一個用于檢測文件是否有病毒的多病毒引擎查毒站點(diǎn)，上傳文件后可調(diào)用數(shù)十款殺毒軟件引擎進(jìn)行病毒檢測，其中包括國內(nèi)常用的各大殺毒軟件，如金山、瑞星、江民、卡巴斯基、趨勢、諾頓、Macefee等。

用VirSCAN網(wǎng)站檢測剛制作好的上興木馬，檢測結(jié)果顯示，大部分殺毒軟件都報警有病毒。下面就看看我們?nèi)绾巫寵z測結(jié)果中的紅色報警全部變成正常通過吧!

修政PE文件頭

下載“MaskPE 2.0”工具，這個工具可修改PE文件，用于生成免殺的木馬或病毒。不過現(xiàn)在MaskPE已經(jīng)不能實(shí)現(xiàn)免殺的效果了，我們只是用它來修改一下上興木馬的PE文件頭，用于增加殺毒軟件查殺的難度。至于一些普通不常用的木馬，也可以省略這個步驟。

運(yùn)行MaskPE，點(diǎn)擊“LoadFile”按鈕，瀏覽指定剛才生成的上興木馬文件。然后在下方最右邊的下拉列表中選擇加密類型為“Type2”或“Type3”，對于Tvpel加密的程序在運(yùn)行時會還原，所以可能無法通過內(nèi)存檢測。最后點(diǎn)擊“Make File”按鈕。就可完成木馬文件的PE修改了。

修改后的PE文件上傳到VirSCAN網(wǎng)站上檢測，發(fā)現(xiàn)經(jīng)過修改后。僅免殺了其中一款不常見的殺毒軟件。不過我們的目的僅僅是為后面的免殺作準(zhǔn)備而已。另外，需要備份并運(yùn)行PE修改后的木馬文件，看看木馬是否能夠正常上線。

核心——加密殼

現(xiàn)在到了今天我們免殺技術(shù)的核心——加密殼。加殼是一種常見的免殺方法，但是以前我們介紹的都只是加上Aspack、UPX之類的普通殼，這些殼只屬于壓縮殼。雖然可以對木馬起到加密的作用，但是現(xiàn)在各款殺毒軟件早就能輕松的脫殼反查出木馬了。今天要使用的是“加密殼”，這類殼與普通殼不同，是由一些廠商為保護(hù)軟件而開發(fā)的特殊殼，可對程序的所有資源進(jìn)行特殊的加密，根本無法進(jìn)行反編譯脫殼和還原破解。用加密殼加密過后的木馬。殺毒軟件無法進(jìn)行脫殼查殺，因此可以突破殺毒軟件實(shí)現(xiàn)免殺!

Themida加殼

Themida一款優(yōu)秀的商業(yè)保護(hù)殼，強(qiáng)度非常高。直接下載運(yùn)行“Themida 18.5.5正式版”會提示缺少文件，需要再下載“ThemidaFiles”，解壓后將所有文件復(fù)制到“Themida1.8.5.5正式版”目錄中，即可正常運(yùn)行。

運(yùn)行Themida后，點(diǎn)擊窗口中“l(fā)nput Filename”后的瀏覽按鈕，瀏覽指定剛才修改過PE的木馬文件，在“OutputFilename”處瀏覽指定木馬加密保護(hù)后的文件路徑。然后點(diǎn)擊工具欄“Protect”按鈕，即可打開加密保護(hù)對話框，點(diǎn)擊“Protect”按鈕即可開始進(jìn)行加密保護(hù)了。

加密保護(hù)完成后，將生成文件上傳到VirSCAN網(wǎng)站上檢測，發(fā)現(xiàn)加密后的木馬文件。已經(jīng)躲過了大部分殺毒軟件的查殺。國內(nèi)的三大殺毒軟件及卡巴斯基等，已經(jīng)對木馬視而不見了!

ASProtct SKE加密殼

ASProtect SKE是一款非常著名的加宿殼，用它來對木馬加密免殺的效果也非常好!

運(yùn)行“ASP rotect SKE 2.3 build 05.14 beta”，在“Options”選項(xiàng)頁中，點(diǎn)擊“File to Protect”處瀏覽按鈕。指定修改過PE的文件，在“Output To Filename”處指定生成加密文件路徑。在加密選項(xiàng)“Protections Options”處勾選“Resou rces Protetion”以加密資源，其它保護(hù)項(xiàng)可根據(jù)需要設(shè)置。在“CompressiORS Options”處設(shè)置壓縮率為最高“Good Compression”。

再切換到“Mode”選項(xiàng)頁。點(diǎn)擊“Add Mode”按鈕，添加一個加密模式“1”。在列表中選擇壓縮模式1，勾選下方的“IsThis Mode Active?”，將該模式激活。點(diǎn)擊工具欄上的“Start Protection”按鈕，即可開始進(jìn)行加密壓縮了。

用VirSCAN在線掃描ASProtect SKE$11密后的木馬，結(jié)果顯示國內(nèi)常見的殺毒軟件全部檢測無毒，僅有幾款來自國外的少見殺毒軟件能夠查殺!

補(bǔ)充——過主動防御

現(xiàn)在的殺毒軟件不只用被動的查殺方式防御病毒木馬，還采用了主動防御的方案，過主動防御也是病毒免殺的一個重要步驟。在國內(nèi)的殺毒軟件中，金山?jīng)]有提供主動防御功能，可以不必考慮，瑞星的主動防御很脆弱，用Byshefl、evllotus之類生成的木馬就可以輕松突破；而卡巴斯基的主動防御功能，一般是通過修改系統(tǒng)時間來突破的，在上興之類的木馬中都提供了修改系統(tǒng)時間功能：而對于江民殺毒軟件的主動防御突破是比較困難的?？梢允褂靡粋€叫作“過主動免殺殼1.0”的工具來實(shí)現(xiàn)。

運(yùn)行過主動免殺殼工具，將剛才生成的免殺木馬拖到程序窗口中，點(diǎn)擊“加殼”按鈕即可直接加殼完成。生成的文件可過常見殺毒軟件的主動防御。效果不錯。

MaskPE 2.0 http：//www．3800hk．com/Soft/lmhb/12113htmI

Themida 1.8.5.5正式版http：//www．pediy．com/tools/PACK/Protectors/Themida/Themida 1.8.5.5.rar

ThemidaF_les http：//WWW．pediy．com/tools/PACK，Protectors/Themida/ThemidaFiles，rar

ASProtect SKE 2.3 build 05.14 beta．http：//wwwpediy．com/tools/PACK/Protectors/ASP rotect/ASProtect_SKE_2.3beta0514．zip

過主動免殺殼1.0 http：//download．a(chǎn)nqn．com/2008/Quozhudongms10——anqn com．rar