木马免杀技术分享

马免杀应该起源于2005年的中国。从此，单一特征码变成了现在的复合特征码，杀毒软件也从不主动防御变成了主动防御。免杀技术已经越来越难了，但都是一样的——改特征码。到现在一些辅助软件杀来杀去。

以下解释以远程控制软件为例(这里补充一个概念，木马的反弹技术是服务器主动连接客户端。什么是主动连接？只要你在这台机器上打开客户端软件，马忠的电脑就会主动连接到你的软件上，而不是非得找到他的IP再和他连接，省去了很多麻烦)

因为现在的主动防御太强了，尤其是卡巴和瑞星的主动防御都是基于特征码的，所以很容易被打通。在选择遥控软件的时候，要选一个太软的，比如PCSHARE，iRaT+Classic，gh0st等。个人觉得这些软件都不错，很好杀。

行为查杀:大部分木马都有一个默认的发布路径，安装后会有几个特殊的条款，比如“灰鸽已安装”、“黑鸽已保护”，安装后带有“黑卫版”字样。这些都是行为查杀木马的特点。配置时更改路径，配置后用C32ASM查找替换里面的字符。

我还是觉得最重要的是特征码，可能大多数人觉得是主动防御。因为从我的养马经验来看，比如PCshare，iRaT+Classic等。，只要改了特征码，就要主动拍照。因为这些软件本身就是软件查杀的主要防御。说说我改特征码的经历:

1.定位特征码后，不要急着更改特征码。你应该先看看前面和后面。我定位PCSHARE的时候定位了system.sys(小数点被杀，就是特征码)，我把小数点前面的system改成大写，然后我就用了那个杀毒软件。也就是说，不要定位，只要换就行了。

2.定位打电话的时候，你要这样试试:比如定位打12345678，这样的一个，你可以试着改成打12345677，也就是负1。这个方法很有用。

3.定位PE头时，应移动PE头。我就不细说了。这个网上看的方法很简单，简单算一下，移位就行了。第二种方法，听群里的朋友说的，自己还没试过，就是加个带北斗的壳，然后去掉，可以避免杀生。

4.当定位到输入表时，也是相应的移位。网上的方法也很多。因为是简略的讲，不想细说。我只是想提醒你，在查看免杀方法的同时，你会学到很多东西。

5.五是加减一的方法。如果你找到一个数字或任何其他符号，试着加减一。我试过这个，有时候还挺有用的。

6.先加一个外壳，再定位特征码，可以减少对特征码的修改。

7.跳转方法。找一个零区，或者最好自己插一个，把代码移到零区。这是一种常见的方法。

8.对付卡巴，花指令很有效。花卉说明书怎么写？首先，花指令是一堆废话，没用。你唯一要做的就是保持堆栈平衡，否则就会出错。

9.你要知道一些十六进制的工具，汇编工具，学习的时候要知道一些汇编工具，避免杀熟。多改变别人就好。