文章來源：賽迪網技術社區
作者：smtk

如今，談馬可謂色變。木馬的確比常規病毒更狠，監控你的操作，吞噬你的隱私，破壞你的數據。我們安裝了最新的殺毒軟件，每天進行補丁的更新，還有防火牆的時時保護，但——為什麼還會中木馬？

  因為，有一種木馬叫免殺！

  首先提醒大家的是，免殺是個相對詞，針對目前的技術而言，木馬免殺成功率並不高（以多引擎檢測為依據）。但用戶安裝的安全軟件相對單一，所以具有針對性的製作免殺木馬，對於個人用戶而言就是絕對的免殺。

  接下來我們就看看黑客們是通過何種方法達到免殺目的的。

  我們首先製作一個普通的灰鴿子木馬服務端，然後在VirusTotal的多引擎系統中掃瞄，可以發現，絕大多數的殺毒引擎都能夠識別出該木馬程序。

  免殺方法大體上分為加密代碼、花指令、加殼、修改程序入口以及手工DIY PE。至於純手工操作並不推薦，因為這種方法製作出的程序效果雖好，但太過複雜，需要很強的彙編語言基礎，並對Windows內核有一定認識。

  1.代碼

  MaskPE內含多種信息模塊，可以方便的修改程序指令，打亂源代碼，針對利用代碼識別病毒的安全軟件很有效果。Load File以後選擇一種Information模式，最後Make File即可。

  2.花指令

  花指令就是一些彙編指令。原本用在Crack中，但目前更多的引入到木馬修改上。這種方法使得殺毒軟件不能正常的判斷病毒文件的構造。對於採用文件頭提取特徵碼的殺毒軟件有特殊的殺傷力。

  添加花指令方法可以採用調試工具，由於我們在後期還要加殼處理，實際上直接用超級花指令的方法修改就可以了，模塊自行選擇。

  3.加殼

  其實目前的加殼對於很多殺毒軟件的防範用處並不大，不僅僅是由於殺毒軟件自身識殼能力增強，更多的是加殼後對木馬本身的傷害很大，尤其是有些木馬的服務端默認已經作過加殼操作，如果進行二次加殼，很有可能造成程序啟動異常。

  流行的方法可以選擇一些非常規殼：比如NsPack或者Private exe Protector。我們採用Private exe Protector對服務端進行處理。選擇「保護並壓縮資源」以及「反調試與跟蹤」選項。

  4.入口點

  最後修改程序入口點，它的目的和加殼相似，就是讓殺毒軟件無法從黑客程序的入口點來獲取源代碼。修改方式可以使用FEPB、Ollydbg或者PEditor等。載入程序後找到「入口點」信息，接著在原來的數值的基礎上加上個整數值後保存。

  現在已經完成了免殺過程，再次進入VirusTotal掃瞄，發現能識別為病毒的殺毒引擎已經不多了。

  幾點提示：

  1.免殺處理後的程序最好在虛擬機或者沙盤系統中測試一下，因為自動加密方式很有可能造成程序異常。如果出現異常，可以在操作過程中更換加密模塊。
  2.本文提到的方法對不同版本木馬的修改結果不一致，請用戶自行嘗試。
  3.任何免殺都不可能做到100%，所以我們防範免殺木馬的最好辦法就是安裝主動型防禦軟件。

所以說還是防不勝防啦！
不然還能怎麼樣！
只好該裝的裝不該裝的也給他裝啦！