魔兽爱好者联盟

很多HACKER朋友虽然知道很多入侵技巧,但是木马免杀却不懂的,这使的很多跨站挂马的朋友丢失了好多珍贵的可以入侵的计算机!很多朋友就问了:你是怎么做到免杀的呢? 我就告诉大家木马如何做到免杀!大家只要记好下面的四句免杀秘诀,按照下面的步骤来处理木马程序，我相信大家也能打造无敌的免杀木马!
1–去头加花改入口
2–修改特征过杀软
3–加区建表重载入
4–加密加壳终极法
简单解释一下:
Continue reading 木马免杀技术详解

1. ascii “http://huigezi”,0 2. ascii “BEI_ZHU”,0 ascii “software\Microso” ascii “ft\Windows\Curre” ascii “ntVersion\Setup”,0 ascii “software\Microso” ascii “ft\Windows\Curre” ascii “ntVersion\Run”,0 3. ascii “entVersion\Run”,0 4. ascii “Internet Explore” ascii “r\IEXPLORE.EXE”,0 5. ascii “http://”,0 6. ascii “Software\Borland” ascii “\Locales”,0

1.写注册表了,或者写启动目录了,这里的文件只要不是白名单,云查杀就干你
解决方法:伪造为gdi32.dll复制到所有目录,或者捆绑所有dll文件启动
捆绑c:Program FilesThunder NetworkThunderProgram下面任一个.dll文件启动,这个方法不错

2.把文件下到windows/下面的目录了,这里的文件只要不是白名单就干你
解决方法写到比如”c:Program Files360360se3360SE.exe” 这样的目录
Continue reading 过云查杀思路

说起来360杀毒我感觉还是比较好过的，因为360的主动防御和一些体系都没有像瑞星卡巴那样的完整，我个人觉得360杀毒主要是治，而没有偏重“防”这个是360杀毒的一点失败，但是由360安全卫士很好的解决了。顺便提一下，一个朋友问我360安全卫士的主动怎么过，这个我看了，好像真的有点味道，直接用TASKKILL命令结束“ZhuDongFangYu”这个进程就OK。下面我说怎么过360的MYCCL定位死循环。 360貌似是对木马的查杀有怪癖，我目前没有发现很有效的设置MYCCL过360的方法。用的最多的就是把正向变成反向生成，对金山也有效果。下面说一下360. MYCCL的设置; 1.MYCCL过360主动防御以及设置信任。 2.生成用反向定位。 3.一般360是死循环是针对凤凰ABC，GHOST，好像还有上兴2008以前的版本，这三个把MYCCL的开始和结束设置为CODE段的就OK。 4.MYCCL进程改名

木马的设置： 1.ASCII字符串隐藏，效果非常有效！ 2.图标的清晰度，这个好像不确定，审判者是这样的，用WIN的图片但是不清晰是杀的，解决办法就是替换一个相同规格的图标。 3.特定的大小，灰鸽子的大小一定是变的！360白痴的杀大小！（不确定因素）

瑞星启发扫描让很多人吃了苦头，很多人定位到了输入表的某个函数，因为是启发扫面，移位是无效的，因为是输入表也不能加密函数名。
还好有有jgaoabc的输入表加密的手工实现的方法。但这不久就被瑞星发觉，提示可疑文件，虽然不直接kill，但提示了总不完美。

瑞星是通过扫描调用getproaddress这个函数来查杀的。有人说用加壳加花等办法可以过。但各人试了几个花都没有效果，而且加花也麻烦。

前两天突然来了灵感，结果很容易就过了。来暗组很久了，现在来做点贡献，
Continue reading 加密输入表后，瑞星提示可疑packer，的个人解决方法

现在的360很变态，一方面联合360杀毒，360安全卫士，后台收集数据进行联合防御策略

根据我的研究，360实时监视你的电脑，如果你的某个文件操作不符合系统规范时，比如

后台安装服务，插入进程，COPY文件到系统目录，他就将父文件等全部后台上传，进入360

服务器后，进行MD5定位，这时，如果有如果有其他电脑同MD5文件进行操作时，在360安

全卫士木马防火墙就会给你拦截，360杀毒也会查杀，这就是360公司所谓的云查杀，当然他
Continue reading 浅谈360主动防御(360提示)、瑞星主动及360实时查杀的免杀技

127.0.0.1 avp.com 127.0.0.1 ca.com 127.0.0.1 customer.symantec.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 download.mcafee.com 127.0.0.1 f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 kaspersky-labs.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 mast.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 microsoft.com 127.0.0.1 my-etrust.com 127.0.0.1 nai.com 127.0.0.1 networkassociates.com 127.0.0.1 pandasoftware.com 127.0.0.1 rads.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 sophos.com 127.0.0.1 symantec.com 127.0.0.1 trendmicro.com 127.0.0.1 updates.symantec.com 127.0.0.1 update.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 viruslist.com . . . → Read More: 让所有杀毒软件无法自动更新

日常生活中，我们常常能从某杀软厂商的宣传语中看到启发式查毒技术等字样。那，究竟什么是启发式查毒技术呢？ 以下援引网络资料简介下： 病毒和正常程序的区别可以体现在许多方面，比较常见的如：通常一个应用程序在最初的指令，是检查命令行输入有无参数项、清屏和保存原来
日常生活中，我们常常能从某杀软厂商的宣传语中看到“启发式查毒技术”等字样。那，究竟什么是启发式查毒技术呢？
Continue reading 国外热门启发式杀软所用引擎及亮点技术

一、主动免杀
1. 修改字符特征：主动查找可能的特征码，包括木马文件修改注册表、生成新文件的名称与路径、注入的进程名等动
作，也包括运行过程中可能出现或一定会出现的字符等文件特征。然后找出这些字符，并将其修改。
2. 修改输入表：查找此文件的输入表函数名（API Name），并将其移位。
3. 打乱文件结构：利用跳转（JMP），打乱文件原有结构。
4. 修改入口点：将文件的入口点加1。
5. 修改PE段：将PE段移动到空白位置
Continue reading 免杀方法简单介绍

作者：mayuelei
十月的天空点缀着共和国成立60周年的光辉，不断壮大的中国要再次屹立于世界强国之列。（对祖国的忠心祝愿）
——现在秋已经深了，绿叶被染成红色，忙碌的我们忘记了时间的车轮碾过岁月的痕迹，我也步入了大学，有了更多自由学习的时间，突然爱上了高级免杀，小弟不敢怠慢，赶快把自己总结的笔记贡献给大家。
Continue reading 高级免杀前的基础（2010的杀软新功能介绍）