木马免杀全攻略 十一

移动PE段的位置：

      关于这种方法，可是绝学！今天借此机会贡献给各位朋友，希望此方法能在你免杀时助你一臂之力！那么修改PE段究竟能起到什么作用呢？首先当然可以达到长期免杀的目的，其次可以保护我们的免杀文件，其他人无法学走我们的免杀方法（A1Pass：要想真正达到这个目的，除此之外你还不能让别人看到这篇文章，所以这期的X档案赶紧全包了吧！呵呵！）。为什么呢？因为一些反汇编工具无法载入经过修改PE文件头的程序。

         我们先来看看PE段，怎么看？先用WinHex载入我们的木马（如图43）。

看到图中PE那两个字了吗？这两个字的P所在位置就是PE段的入口点，我这里是00000100。我们在仔细看看图43，看看PE下一行的第一个16进制是不是E0？好，下面我们用WINDOWS系统自带的计算器计算一下，得到16进制的E0就是十进制的224。这是什么意思呢？它代表的就是PE段的大小，在WinHex中一行能显示16个字符，224个字符正好是14行，我们将这14行内容复制保存起来，并记住PE段的末尾地址，我这里是000001EF，最后将这个PE段用0填充（如图44）。

最后将我们事先保存的PE段上移，但注意不要超过“This program must be run under Win32”这段内容。由于PE段的上移，其体积必然也就随之增大，而从我们现在PE段所处的00000080到000001EF，总共是368个字节，换成16进制为170，全部更改完毕后如图45所示

针对瑞星：

      先用OllyDbg载入文件，只要将其第一条机器码push ebp改为pop ebp即可躲过瑞星的内存杀毒。

加壳压缩：

   加壳是菜鸟的专利，虽然操作简便，但是免杀效果与“报质期”都不尽人意，但是做完免杀后在加个压缩壳还是很有必要的。

        加壳免杀的第一步就是要找到好壳，大家没事可以到看雪论坛逛逛，他那里经常有好壳出现。但关于加壳的一些操作步骤我在这里就不费笔墨了，大家下去自己一看就会，其实就是个使用软件的过程。

   好了，到这里，我们对木马的免杀就做完了，总共用了七大类共计14种方法！恐怕一时理解起来比较困难。下面我就在用“苏式教育”的方法为各位读者规划一下本文所讲的知识，方便各位读者以后应用与查找。

免杀的操作顺序：

1.       主动查找可能存在的特征码

2.       用CCL等查找特征码，并将其更改

3.       尽可能多的更改输入表函数

4.       更改文件头

5.       Vmportect区段加密

6.       移动PE段的位置

7.       加壳压缩