免殺！第三課 免殺前奏+特徵碼定位…

OK！大家好，我是BlackTea，今天是免殺的前奏，也是我們窺破免殺祕密的第一步。

 

額。。。究竟神馬是免殺呢？

免殺呢，就是，可以將其看為一種能使病毒木馬避免被防毒軟體查殺的技術。但是不得不客觀地說，免殺技術的涉獵面非常廣，您可以由此輕鬆轉型為反彙編、逆向工程甚至系統漏洞的發掘等其他頂級黑客技術，由此可見免殺並不簡單。

 

看上面的，，很嚇人是嗎？ 呵呵，免殺實際上就是十分令人頭疼的工作，上面的定義，你只需要知道，免殺就是讓你的病毒，不讓防毒軟體發現，懂？ 。。。ok，我們繼續

 

 

   理論上講，免殺一定是出現在防毒軟體之後的。而通過防毒軟體的發展史不難知道，第一款防毒軟體kill1.0是Wish公司1987年推出的，也就是說免殺技術至少是在1989年以後才發展起來的。關於世界免殺技術的歷史資訊現在以無從考證，但從國內來講，免殺技術的起步可以說是非常晚了。

 

 

那麼可以用什麼方法避免殺軟對我們的病毒的查殺呢？

那麼首先我們先得略懂殺軟的工作原理：

1.特徵碼法

額。。神馬是特徵碼呢？簡單來說，就是防毒軟體通過這段程式碼來確定你這個程式是不是病毒

這個是最基本的方法。

2.行為檢測法

就是殺軟監測你的程式到底對系統做了什麼，如果你的行為構成了破壞系統，那，這個程式就是一個病毒

3.軟體模擬法

說白了，就是讓你的程式在類似虛擬機器的東東里執行，然後檢測行為（這種方法在殺軟中很少用）

 

 

 

OK！現在大家已經知道了殺軟的工作原理，就要有針對性的進行免殺

首先，我們從最基本的講起：

最簡單的當然是特徵碼了，相信你也能知道，特徵碼是殺軟用來確定程式是不是病毒的程式碼，那麼我可不可以把程式的這段程式碼改掉，殺軟不就查不到毒了麼？

bingo！答對了，這就是免殺中最簡單的方法——修改特徵碼！！！

 

 

以上我說的就是原理，下面我來隆重的介紹一下我們的工具——myccl！！！

myccl就是我們來確定特徵碼的位置的工具，因為教程就是教大家如何去免殺，所以我就用灰鴿子進行免殺！！

這裡就不講如何配置灰鴿子的服務程式了

一切的設定都是灰鴿子預設的設定，這裡我用的殺軟是 小紅傘（這個殺軟的免殺十分難做因為是確定特徵碼所以這個也是可以的）

 

 

ok現在我們講這個檔案放到MyCCL中。。。

在這裡簡單的說一下myccl的工作原理（便於更好的使用軟體）：

ccl（以下將myccl簡稱ccl）實際上是將病毒分割成一個個的小塊（小塊是按照順序來分的），用殺軟去查殺這些小塊（這些小塊可以是exe也可以不是exe），殺軟就會一個個進行對位元徵碼，從而殺掉，ccl就會記錄下被殺掉的小塊從而得知特徵碼的位置

 

好了原理就先講到這裡不懂也沒關係，實際你自己的探索要比其他任何都重要！

 

 

下面講解一下ccl的介面：

我把大家不能自己看懂的截下來（這張圖是我把要免殺的病毒程式放到CCL後的部分截圖）

分塊數量：上面我在原理中講過，ccl要將程式分塊便於定位特徵碼，那麼定位的精度就取決於分塊的個數，打個比方：如果一個西瓜有一個位置有壞的地方，我們把西瓜分成兩半，不一定能找到西瓜到底在哪裡壞了，但是你把西瓜分成10份，是不是就更容易的找到壞的地方呢？仔細想想這個實際上就在我們的生活中。是不是分塊越多越好呢？不是的就像你可能把西瓜切成100份麼？（答案是不能的）所以我們要量力而行根據電腦配置和精度的需要，一般的我們分塊的個數在100~200之間。

開始位置：一般的我們把他放到40這個位置，為啥，在這裡簡單的說一下，因為我們病毒的檔案頭在這裡（聽不懂？照做就可以，當你瞭解到一定程度一會就會明白，如果你不是自己弄明白，我在這裡怎麼說你也是一頭霧水）

單位長度、填充、分段長度，結束位置：由於我們剛剛接觸免殺，我們就按照ccl給出的預設值做就可以了（當我們深入瞭解免殺的時候通過修改單位長度、填充、分段長度，結束位置我們就可以減少工作量了）

 

 

好了介面以及設定我都已經講過了，下面我們點選<生成>然後開始下一步工作！（生成的時候最好把殺軟的實時監控關閉，否則那個殺軟會要了你電腦的命！！）

這時，和我們的病毒同一個目錄下就會有一個output的資料夾裡面全是我們不知道什麼檔案的檔案（你實際上也不需要檢視這個資料夾裡到底有什麼東西）我們只需要用我們的殺軟查殺那個資料夾就可以了（查殺完之後要將那些檔案用殺軟處理掉——移入隔離區）

這是我們點選ccl上的<特徵區間>和<二次處理>兩個按鈕

ccl會彈出一個框問你是否繼續我們選擇<是>！

繼續防毒。。。。

二次處理。。。。

繼續防毒。。。。

二次處理。。。。

繼續防毒。。。。

二次處理。。。。

。

。

。

。

直到我們用殺軟查殺不出病毒為止！！！！！！！！

現在我的特徵區間裡出現了3段特徵碼（小紅傘這是仔細啊！一個灰鴿子竟然用3個特徵碼，，，金山才用了一個差距啊，這就是為什麼金山的殺軟不行的原因了——免殺太好做了！！）

解釋一下：特徵碼被一個下劃線隔開 ！

前半段：例：000A5ACF是指特徵碼的位置

後半段：例：000017E1是指特徵碼的精度（我們先暫時怎麼理解）

 

下一步我們需要讓這個特徵碼的位置精確！

我們右擊第一個特徵碼—>選擇 複合精確定位特徵碼（如圖）

這時我們只需要更改分塊個數（100~200）再次點<生成> 

然後查殺output資料夾

二次處理

複合精確定位特徵碼

生成

二次處理

。

。

。

。

直到，我們的特徵區間的特徵變成

[特徵]000A132C_00000002

————下劃線後的數值在00000000~00000005之間時記錄下這段程式碼

如果還有別的程式碼繼續重複以上操作！

 

 

由於種種原因，後面就不給附圖了，但一定會補上。。。。

突然間發現寫文字教程也是一個十分累人的工作，但還是堅持把！！！！

 

 

              剩下教程近期推出，敬請期待

 

 

附：myCCL的下載地址：http://www.duote.com/soft/5049.html

 

啊~好累，睡覺去，明天繼續奮鬥！！！

11.11.12

BlackTea

哈爾濱