免杀过程中的总结

第一：我们学习免杀的方向：电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站! `3 I4 |7 c0 z
如果象本人一样，只是为了保护自己的黑软的话！就不会学的那么累（没必要去学汇编编程）有时候简单加下壳或者脱下壳就OK！* A7 t6 l7 I- ]) T1 _
如果是要挑战世界的杀毒软件的话，毕竟每个PC用户安装的杀软都不一样！想抓鸡拿服务器的朋友就要进修脱壳破解，高级汇编的内容了，这将决定你免杀技术的高低！
9 z- v: o! Y, _/ T# s/ C电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站
: p: O+ }" }4 b  [* [5 i我爱电脑技术论坛      第二：免杀的环境：做免杀，逃不了测试这个木马是不是修改成功！所以为了保护自己的系统，我建议学免杀要先学会使用虚拟机，很多人会说，为什么不用影子？影子系统虽然也是可以保护的，暂用资源又少，但是有些反弹型木马，我们运行后如果失败（即使成功）都需要重启来完成完全清除的工作！做过QQ盗号木马跟远控软件免杀的朋友应该深有体会！
6 C$ T; T' n$ H# a/ q我爱电脑技术论坛
0 ^/ E% H5 P! j! W2 V& @% F9 G  d打造最好的电脑自学交流论坛      第三：杀软的安装设置：个人建议安装卡巴，小红伞，瑞星，金山！（当然配置好的电脑可以再加上江民，麦咖啡）这里我为什么不说安装NOD32呢！本人以前装卡巴，小红伞，瑞星，金山的时候就为了装个NOD32而导致不能上网（后来修复）又发现权限有问题（部分程序竟然没权限运行......）只好在虚拟机里单独安装！所以也建议大家要装NOD32的话，还是在虚拟机里单独安装吧！硬盘大的朋友建议全利用虚拟机安装杀软（方便以后重做系统，节省升级病毒库的时间）杀软的设置，可以说是很简单的！每安装完一个杀软，我们都要先在杀软设置里把监控跟自我保护的选项的钩去掉！然后升级病毒库！升级完后再关闭服务跟启动项（利用360安全卫士）这样安装其他的杀软就不会起冲突了！这里注意下！瑞星升级后会自己更改自己的服务为自动，所以瑞星建议最后装，最后升级，再关闭它的服务！这里我想大家肯定是关心杀软的序列号从哪来的吧！瑞星有体验版，金山有37天试用版，NOD32利用PPLOVE网络电视有180天试用！卡巴等洋货在百度上搜索均有可用的序列号！这个就是考验大家的细心了！呵呵！卡巴不建议装6.0的，虽然我知道6.0的有的序列号可以用到3000年！但是查杀模式跟7.0大有不同！！大家还是装7.0吧！（虽然卡巴的启发比不上NOD32的，但是它的主动可是免杀爱好者的“粉丝”）
" r3 A$ c6 v( |) y
" B/ x9 Z$ @: {& A0 F打造最好的电脑自学交流论坛      第四：杀软的查杀特点：我爱电脑技术论坛2 O, f0 h0 q: j5 O0 X
打造最好的电脑自学交流论坛8 {7 D8 i8 P" K5 t- I
      卡巴：简单来说是靠主动吃饭的！他的病毒库虽然非常大！但是不知道为什么，简单的花指令竟然能破解它......虽然现在升级加了启发扫描~~但是我测试还是一个花就可以过！只要你的花有个性（别去网上找）加个壳改下壳头也可以过！瑞星：国内木马的超级对手可以这么说！对国内的木马定位的特征是洋货的N倍（鸽子见证）主要查杀技术是内存查杀技术，但是对一些生僻的木马，内存病毒库里竟然没有，只要过了表面就可以过内存......主动主杀敏感字符串，本人测试鸽子的时候改了表面跟内存特征，竟然直接过主动......广告卖的倒不错，但是只是针对流行木马！其他不常见木马并没有加大什么强度！
. M& ]4 n1 ^1 C8 ]5 ]. q3 B打造最好的电脑自学交流论坛      NOD32：启发扫描的头领！主杀输入表函数，针对MYCCL定位器做过调整！定位建议用 multiCCL这个来定位！不过这个大块头对生僻壳的侦壳能力不强！加些生僻壳把一些函数保护起来可以让它无用武之地！对外国木马还行~国内好多木马它都放行！！国内朋友不建议装这个杀软（这类壳主要是加密型，不建议用压缩型）金山：数据流查杀技术的代表！简单来说跟瑞星内存查杀技术有点一样！病毒库升级，查杀病毒速度都是超级快！但是杀毒能力比较上面的几款有点逊色！
6 R0 w8 E* H- nwww.520diannao.com      360与金山清理专家：行为查杀的代表，金山清理专家比360查杀力度还大！但是监控能力......实在不想说！以上可以说是所有集合杀软的特点：文件查杀，内存查杀，启发查杀，数据流查杀！行为查杀！主动防御！每个杀软都有自己的特点，一个人也不可能把全球杀软都安装起来研究，但是以上4个杀软跟一个辅助可以说全包括了病毒查杀特点！也不能说哪个不好，哪个很好！有些木马这个杀软杀不出来~~那个就可以杀出来！所以对于现在网上有些朋友对个别杀毒软件不重视，就会导致你所谓的“肉鸡”插翅难飞！嘻嘻！0 g- Q9 O7 l& x- j
      第五：免杀所用工具简介（建议都在本站下载）
* x5 j5 L! \$ X( D0 H打造最好的电脑自学交流论坛      免杀其实用不了很多工具！！但是我看一些朋友的免杀工具包真的好吓人...... 我爱电脑技术社区--打造最好的电脑技术自学交流平台2 P+ e" t! T; j/ F/ j
      1.Ollydbg: 32位的动态编译器，脱壳跟修改特征码必备工具！
7 i3 |# f% _: P7 H3 W6 u7 f; C! f: Y电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站      2.C32Asm: 集反汇编，16进制，Hiew修改功能一体！但是真正用处只是修改驱动内核级木马Pcshre才用！平时的修改技巧后面再讲！ 电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站- Y- [8 X. w  x. X& l
      3.WinHex:16进制编辑工具！主要是内存编辑功能好用
- w/ @6 j5 I% w" F" |我爱电脑技术论坛      4.TK.loader:定位内存特征的小工具
# f; M  g8 I( r! q电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站      5.PEID：查壳工具
1 t# z5 y1 N; x$ j; g      6.LordPEE编辑工具！脱壳，修改程序入口跟函数常用
+ k+ c4 O! W: \$ m# m$ O2 \2 E8 p/ Kwww.520diannao.com        7.PEditor:修改程序入口跟效验程序的
+ K4 E  W4 e3 ^* j% S. I- ]% Q( ^我爱电脑技术社区--打造最好的电脑技术自学交流平台        8.Resttorator:程序资源修改器！做免杀需要修改资源的时候杀用的最多（如鸽子）！打造最好的电脑自学交流论坛. O( v5 T! o8 D9 U% Z. B
        9.ResRcope:同上，有时候需要这个才可以导出，导入，修改资源！本人也不知道WHY？ 电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站/ e2 {! s3 H. D8 f5 {
        10.FreeRes:针对资源的释放程序，可重建可编辑资源而实现加多重壳的目的！电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站" P7 Q  B' W! ]- K  [  T
        11.ZeroAdd:加区段的工具 www.520diannao.com0 v, ~) F$ K4 s/ k) Y- p4 ?
        12.ImportREC:不常用！偶而用来修复输入表！我爱电脑技术社区--打造最好的电脑技术自学交流平台7 |7 t! r+ a7 j+ l# t  o9 s
        13.FixRes：跟FreeRes差不多，配合使用效果很好！
* y( M( f# J; v: M& y电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站        14.MYCCL：特征码定位器（1.1版本可以用来当点唱机- -！）
7 ^" F5 X+ o8 U( `  Z1 `3 f% J7 A电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站        15.multiCCLOS界面的定位器，不怎么受欢迎！但是定位方法比MYCCL更好！更科学！
7 D. t8 z9 P/ b5 |3 b0 h+ g        16.OC：偏移地址转换器 www.520diannao.com8 w, w$ i, m0 n' K
        17.NOD32特征码转换器：不说也知道是干什么用吧- -！
6 v* w0 w' B2 o6 k3 @9 x% ~- i我爱电脑技术论坛      18.VMUnpacker：超级巡警自动脱壳机！有时候要脱壳就找它！
9 U0 M' l8 V0 }! }% Z8 V我爱电脑技术论坛        19.FFI：超级巡警病毒分析工具！我一直当脱壳机用....我爱电脑技术论坛& u# Z& R9 u$ x! d, |" l( C. P
      20.掘北压缩0.28免杀版：对瑞星有很好的效果，改下头对卡巴有疗效 打造最好的电脑自学交流论坛3 A1 |, w6 v4 H
        21.ASProtect:卡巴金山的天敌！ 我爱电脑技术社区--打造最好的电脑技术自学交流平台5 R2 p+ K% a) i' Q
        22.免杀了一个月的花（公布出来就代表不免杀）
3 R% g6 A  I6 c8 u$ ]+ A6 _我爱电脑技术社区--打造最好的电脑技术自学交流平台push 数字 打造最好的电脑自学交流论坛0 J: r3 X9 ~# L* Q5 A- P+ A
push ebp 打造最好的电脑自学交流论坛" a/ _2 p2 e* A, R8 W7 t
add esp,数字
4 E+ c: G4 R# \& h$ O7 o6 ladd esp,-数字 ' i( G; e; m4 k; ]
pop ebpwww.520diannao.com7 [3 g7 h" I/ E
push -数字
' W6 B( {* g( n) R4 _1 o5 a我爱电脑技术社区--打造最好的电脑技术自学交流平台mov EDI,EDI 我爱电脑技术社区--打造最好的电脑技术自学交流平台: G  f+ R. Y) T% I" P
mov EDI,EDI www.520diannao.com5 r2 A' Z. U2 u) `' Q/ k
nop
2 c4 J! h7 ^' ]7 @0 m) T打造最好的电脑自学交流论坛push ebp电脑,技术,IT,学习,交流,网络安全,QQ,硬件,软件,编程,教程,建站( g  x3 K& Q# _8 G
mov ebp,esp ----跳回去入口点吧！我爱电脑技术论坛, [  U% }/ l0 ]+ p& w
  以上是本人免杀学习过程中常用的工具！当然还有一些壳我没写！大家都知道！杀软查杀的力度！本人就不公布了！大家自己去找吧！生僻壳的效果绝对比改特征码好！