木马免杀博客【免杀木马的制作与防范】

　　木马相信很多人都知道，而木马的确比常规病毒更狠，监控你的操作，吞噬你的隐私，破坏你的数据。有人要问，为什么我们的计算机安装了最新的杀毒软件，每天进行各种补丁的更新升级，还有防火墙的时时保护，为什么还会中木马呢？那是因为，有一种木马叫免杀。

　　一、什么是免杀？

　　免杀是个相对词，针对目前的技术而言，多数木马都不能避免会被杀毒软件监控到并杀掉的危险，于是木马的实用性就低很多。为了能避开杀毒软件的识别，黑客们开始从木马下手，通过各种手段“重新包装”木马，让它在杀毒软件的眼皮底下蒙混过关，这就是所谓的免杀。

　　二、制作免杀木马

　　下面我们来看看黑客们是通过何种方法制作完成免杀木马的：

　　我们首先制作一个普通的灰鸽子木马服务端取名mmsetup.exe，然后登录https://www.省略/zh-cn/网站把mmsetup.exe灰鸽子木马服务端上传过去，通过多引擎系统中扫描，你可以发现，绝大多数的杀毒引擎都能够识别出该木马程序，木马成功率只有10%简直可以忽略了，木马也就没意义了！（如图1）

　　同时，针对这个mmsetup.exe我们对它进行免杀设置，一般常用的免杀方法为加密代码、花指令、加壳、修改程序入口以及手工DIY PE，至于纯手工操作并不推荐，因为这种方法制作出的程序效果虽好，但太过复杂，需要很强的汇编语言基础，并对Windows内核有一定认识。

　　1、代码 ……此处隐藏1871个字…… 部勾选上，然后把“创建备份文件”也勾选上，这样是为了防止加壳过重引起木马失效而做的准备。最后单击“pe spin”选项卡，单击“保护文件”即可完成加壳。（如图4）

　　4、入口点修改法

　　最后修改程序入口点，它的目的和加壳相似，就是让杀毒软件无法从黑客程序的入口点来获取源代码。修改方式可以使用FEPB、Ollydbg或者PEditor等，载入程序后找到“入口点”信息，接着在原来的数值的基础上加上个整数值后保存。打开“FEPB”软件，单击“Target…”然后选择要修改的木马mmsetup1.exe，然后选择“Break In”按钮，此时会弹出一个窗口寻问是否确认这步操作，单击“确定”完成修改。（如图5）

　　做到这里，我们的木马经过四层免杀设置基本上已经完成了免杀过程，接下来把它再次送进VirusTotal网扫描，你发现能识别为病毒的杀毒引擎已经不多了，免杀的目的就达到了。

　　三、免杀木马的防范：

　　免杀木马固然厉害，能骗过一些杀毒软件的眼睛。那如何防范免杀木马呢：

　　1、对于防范免杀木马的最好办法就是安装主动型防御软件。

　　2、使用Ewido防木马软件，对未知的程序进行查杀，它能查出很多免杀木马，威力惊人，但仅针对木马查杀能力强，其它方面不推荐。

　　3、“无忧捆绑文件探测器”，从网上下载程序之后很多程序捆绑了免杀木马，用它打开下载的程序可以检测出该程序是否被捆绑木马，若发现捆绑了直接删除即可。

本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文