文章作者：A1Pass
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

注：本文已发表在《黑客X档案》第7期杂志上，与原文有少许出入，后由作者提交到邪恶八进制论坛，如需转载请保留此信息！

自从病毒与杀毒软件的诞生以来，他们之间的战争就从来没有停止过……多套特征码、自动脱壳、内存杀毒、主动防御等等的出现为网络安全做出了一次次的贡献，当然黑客们也毫不逊色，也出现了修改特征码、加双层变态壳、去文件头等新的免杀技术。
古人云“知己知彼，方能百战不殆！”
今天，我们就以一个病毒防御工作者的角度来做我们的免杀工作。想不被杀，就要先知道是怎么杀的，还不太懂的朋友赶紧偷偷借机恶补吧。

1.杀毒原理
通常，一个病毒防御工作者拿到一个截获或上报上来的病毒时，先是分析这个病毒文件执行后的动作，所谓“动作”，就是指病毒文件执行后会做哪些操作。例如会生成什么新文件、怎样更改注册表、怎样注册服务、打开什么端口等等。
搞明白这些后，下一步一般会研究这个病毒的文件结构，然后找出与众不同的地方，将其定义为特征码。而这个特征码定义的高明与否，就要看他定义的位置是否刁钻，例如他如果定义的是病毒文件更改注册表键值那部分代码的话，这显然不会太难！因为只要病毒文件更改键值，99%的情况下这个文件里一定存在被更改键值的字符串，所以找到这段字符串的位置就可以定义特征码了。但是针对这种特征码做免杀是非常容易的，只需找到相应的位置，并更改字母的大小写即可。而如果从文件头找出一段特征码就是非常不容易的事情了……除此之外，所定义的特征码还有一个分支，即内存特征码。所谓内存特征码就是指木马文件运行后释放到内存时所存在的特征，它的原理大体与上面介绍的文件特征码一样。
当特征码定义出来之后，就会被提交到另外的一个部门，然后进入病毒定义库，当用户更新后，以后杀毒软件在碰到符合要求的文件时就会将其毫不忧郁的杀掉！也就是说，杀毒软件只认特征码，不认文件。
由此可见，病毒防御工作者寻找特征码的方式也不过如此，但这只是定义病毒文件特征码的工作，别的例如修复被感染文件等技术步骤和本文无关，在这也就不介绍了，有兴趣的朋友可以自己研究一下。

2.免杀分类
免杀的方法有很多，无奈没见哪为朋友综合系统的介绍，也苦了小菜们求学无门，只好掏银子找“师傅”，所以我就自告奋勇站出来一次，不足之处还请各位高手多多包涵……
我个人总结的免杀方法总共分两类，即主动免杀与被动免杀。
一、主动免杀
1.修改字符特征：主动查找可能的特征码，包括木马文件修改注册表、生成新文件的名称与路径、注入的进程名等动作，也包括运行过程中可能出现或一定会出现的字符等文件特征。然后找出这些字符，并将其修改。
2.修改输入表：查找此文件的输入表函数名（API Name），并将其移位。
3.打乱文件结构：利用跳转（JMP），打乱文件原有结构。
4.修改入口点：将文件的入口点加1。
5.修改PE段：将PE段移动到空白位置
二、被动免杀
1.修改特征码：用一些工具找出特征码并针对特征码做免杀处理。
2.用Vmprotect：使用Vmprotect加密区段。
3.文件加壳：可以用一些比较生僻的壳对木马文件进行保护。

有的朋友看到这里有可能蒙了，PE、Vmprotect、入口点……这些都是什么意思啊？不要着急，下面我会一一介绍的，只要你看完这篇文章，就一定会成为免杀高手！怎么样？Go！

3.实战演习
1.）修改字符特征
好，下面我们依然以一个病毒防御工作者的角度来考虑我们每一步应该做什么，然后在利用逆向思维分而治之。
现在假如我们拿到一个木马样本灰鸽子，首先当然要分析它究竟有什么功能，怎样运行以及怎样保护自己等。其实这一步要求的专业知识是很多的，但考虑到我们的读者，我们暂且用一个比较简单易行的方法——运行木马AND查看此程序的帮助文档。
我们打开RegSnap，新建一个快照，打开RegSnap后，点击[新建快照]按钮（如图1），在弹出的对话框中选择[生成所有项目的快照]（如图2）。

然后保存快照，现在已经将RegSnap配置好了，下面运行我们的木马程序（提醒：做免杀时，一定要记住养好随时备分的好习惯，以防止修改错误或是实验运行时破坏、删除木马）。
木马运行完毕后，我们在按照上面的方法重新做一个快照并保存，然后按快捷键F5，在弹出的“比较快照”对话框中选择刚才保存的快照，在“第一个快照”中选择我们刚才第一次保存的快照，而“第二个快照”选择我们后保存的快照存档，很快结果就出来了（如图3）。

有的朋友对于使用RegSnap收集到的信息感到无力分析，抱怨收集到的东西太多，在这里我简单的介绍一下，首先应注意的是生成做对比的两个快照之间的时间要尽可能短，另外要排除带有OpenSaveMRU的注册表键值，还要排除有关*.rsnp文件的创建读写等操作记录。下面我们就将有用的信息提取出来，逐一分析。
文件列表于 C:\WINDOWS\*.*
新增文件
木马.exe

注册表报告
新增主键
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Documents and Settings\A1Pass-admin\桌面\huigezi\复件 Server02.exe
键值: 字符串: “复件 Server02″
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\Class
键值: 字符串: “LegacyDriver”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\ClassGUID
键值: 字符串: “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*6728*9A6C*670D*52A1\0000\Control\ActiveService
键值: 字符串: “木马服务”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\木马服务\Description
键值: 字符串: “灰鸽子服务端程序。远程监控管理.”
……

这里我只摘录了部分关键性的木马动作记录，全部记录请见光盘。通过文件列表我们可以知道木马在WINDOW目录下生成了一个新文件，而通过注册表的监控信息我们也知道了木马是怎样将自己注册为系统服务并自动运行的。
那么我们回到瑞星的研究分析室，看看那些大哥大姐们会怎么办……
瑞星大哥：“最近这灰鸽子太猖狂啦！我们是不是应该多定义几套特征码？”
瑞星大姐：“恩，不错！先在注册表那定义一套特征码在说吧。”
A1Pass：“STOP！！”（只见画面突然定格，A1Pass将播放器最小化。）
通过上面的对话，我们可以知道他们要将注册表的某个字符定义为特征码，从上面RegSnap分析出来的记录来看，他们的选择真的是太多了！那么他们究竟会用到哪些呢？其实，就做为一个黑客来讲，只要不影响服务端正常运行，就应该尽量多的改掉木马的所有字符，当然全部改变是不可能的，除非你自己编写木马。
有的朋友要问了，除了注册表别的就不可以改了吗？答案当然是否定的，譬如生成新文件的名称与路彜n„、注入的进程名等动作，这些我们可以利用 WINDOWS对字母大小写不敏感的这一特点直接替换字母的大小写，而对于运行过程中可能出现或一定会出现的字符等我们可以直接将其替换成别的内容。
下面我为大家演示一下怎样更改注入进程的名称。
首先配置服务端，通过图4我们可以看出来灰鸽子的启动运行是需要“IEXPLORE.EXE”这个进程的，根据注册表的推理，我们可以认为其未加壳的服务端是应该存在“IEXPLORE.EXE”这一字符串的。既然如此，我们就先请出我们的第一把武器“WinHex”！

WinHex是一款极为出名16进制编辑器。得到 ZDNetSoftwareLibrary 五星级最高评价，拥有强大的系统效用。在这里，我们只用它来编辑文件，其余不做过多讨论。首先我们用WinHex打开我们的木马文件“Server.exe”，打开后如图5所示。

然后我们按[Ctrl]+[F]快捷键调出查找文本对话框，输入IEXPLORE.EXE后点击“是”（如图6）。

结果如图7所示。下面我们就对其进行大小写转换，用鼠标点击要更改的字母（例如I），然后在按键盘上的i，即可完成更改，就象使用WINDOWS的记事本一样。更改完毕后，按[Ctrl]+[S]快捷键保存即可。

就这么简单？对！就这么简单！其他的例如注册表、生成新文件的名称与路径等等都可以利用此方法更改。
但是不幸的是，经过这样改后，还不足以对付例如金山、江民等品牌杀毒软件，要想对付这些杀毒软件的查杀，我们还需要对我们的木马进行进一步处理。
下面，我们开始学习输入表函数（APIName）免杀！

2.）修改输入表

不知有的朋友是否知道，PE文件的正常运行是离不开其内部输入表函数的，而不同的程序，其内部输入表函数的名称与在文件中的位置是不一样的，所以输入表函数也成了病毒防御工作者制作特征码紧盯的地方之一。在我查出来的关于灰鸽子的特征码来看，“瑞星大哥”已经将其的一处输入表函数作为特征码了。所以掌握输入表函数免杀技巧对于新入门的朋友来说势在必行！
[PE文件小知识：PE文件是WINDOWS系统中特有的一种文件结构，它包括PE文件头、输入表与相关资源文件等等]
经过我的测试，直接单独修改文件内部的输入表函数会导致程序运行不正常甚至崩溃！那就没有办法了吗？我可没那么容易认输！经过一翻苦战，终于让我在LordPE中找到了解决办法，同时FoBnN的文章也给了我非常大的启发……
我们先打开LordPE，点击[PE编辑器]按钮，在弹出的对话框中选中木马文件，打开后点击[目录]（如图8），再点击导入表后面的[…]（如图9）。

在弹出的对话框中我们选择wininet.dll下的InternetOpenUrlA（如图10），有的朋友要问了，为什么非选择InternetOpenUrlA这个输入表函数呢？呵呵！那是因为这个输入表里有特征码哦，关于怎样确定特征码，我在后面会介绍，大家先别着急。

好的，关于LordPE就先停在这，下面我们就用WinHex来查找InternetOpenUrlA这个输入表函数的所在位置，并将其用0填充（操作方法：单击WinHex右面的16进制信息，输入0即可）（如图11、12）。

然后将其写到空白区域（既显示000000的区域），一定要从头开始写入，这样在以后计算地址时不容易出错，除此之外也要注意输入表函数的大小写不要搞错（如图13）。

保存后我们在回到LordPE那里，在需要更改的InternetOpenUrlA输入表函数上单击右键，在弹出的菜单里选择“编辑”，将Thunk里的信息改成000B9D5E（如图14）即可。

有的朋友要问了，刚才我们不是把那个输入表函数放到000B9D60那里了吗？到这怎么变成000B9D5E了？其实原理很简单，因为每个输入表函数前面都是有一个空格的，我们虽不用真正把那个空格加进去，但填写它的地址时一定要空出来，否则就会出错！而将000B9D60减去一个空格所占的位置，其地址正好为000B9D5E，还不十分明白的朋友在仔细看看图13，下面我们在回到LordPE，看看我们改过的输入表函数变成什么样了（如图15）？

那我们该怎么办呢？其实简单的很，只要在重新改一下输入表函数的名称就可以了（如图16）。

有的时候因为我们所填写的地址为比较靠后的，例如我们现在改的这个000B9D5E，后面仅能容纳两个字节，所以更改输入表函数时只能键入两个字，对于这种情况我们可以先把Thunk里的信息改成如000B9D60这样的起始地址，改输入表函数名更改完毕后在将000B9D60改回原来的值（既 000B9D5E），保存后即可成功，我们试一下看看（如图17）。

经测验鸽子的各项功能均正常！在用瑞星查一下试试（如图18），结果当然不言而喻……

3.）修改特征码
虽然到这我们免杀已经成功，但是为了学到更多的技术，为了让我们免杀的鸽子存活的更久，下面我在为大家介绍一下特征码的查找与修改技巧。
特征码是杀毒软件的心脏，但同样也是我们的心脏！就看谁先找到对方地心脏，并能发出致命一击，谁就是胜利者！
一提到查找特征码，就不得不说说MyCCL与CCL，这两个软件的名字相信留心过免杀技术的朋友不会陌生，但由于软件操作的傻瓜化，很多时候对于CCL的介绍只是一带而过，这可苦了入门的朋友！
这一小节我就先介绍一下MyCCL的用法……
我们先来认识一下MyCCL（如图19），根据这张图我们下面就来大体介绍一下MyCCL的应用方法。首先点击第1处选择文件，然后在第2处输入分块个数，分块个数越多，定位越精确，然而生成的速度同时也就越慢，生成的文件总体积也就越大，就象灰鸽子这么大的服务端，如果分块数为300的话，那么它生成文件的总体积将超过230M！所以在这里不建议填写太大的数字，一般象灰鸽子这样的服务端分块数填400个就足够了。生成完毕后会弹出个对话框提醒你去相应目录杀毒，图中所示为“E:\文章\极度免杀\鸽子\OUTPUT”文件夹，我们到那个文件夹下开始杀毒，查到病毒就让杀毒软件将其彻底删除，注意，这一点很重要！处理完毕后点击第3处的二次处理，在点击[生成]上面的[特征区间]按钮即可出现右面的对话框。

下面我们在“区间设定”里右键单击特征码区间，在弹出的菜单中选择“复合精确定位此处特征”（如图20），然后重复上面的操作，直到你认为[单位长度]已经小到很方便更改的时候，特征码的定位就算结束了。

好了，一口气说了这么多，不知道刚入门的朋友是否懂得一些MyCCL的用法了没有……
但是上面我们定位的是文件特征码，还有内存特征码没有定义，这里我们要用到CCL的内存特征码定位功能，打开CCL后，我们依次选择[文件]→[特征码验测]→[内存特征码]（如图21）。

在弹出的对话框中选择我们要进行免杀操作的木马，然后会进入“定位范围选择窗口”（如图22）。

由图中可知，第一个CODE段的偏移量为00000400，也就是说我们可以用00000400做为起始位置，那么我么就在用户输入区的“起始位置” 处填写00000400，下面的那个验测大小怎么填写呢？看到图22中画线的那个“当前文件大小”了吗？我们可以用WINDOWS系统自带的计算器进行计算，把计算器的“查看”菜单设置为科学坜n‹、十六进制、四字（如图23）。

然后用当前文件大小的值减去起始值00000400，得到的结果为000B9A00，那么我们就在“验测大小”后填上000B9A00，然后点击“填加区段”按钮（如图24）。

最后点击确定，在新弹出的对话框中点击运行，不过需要注意的是，在进行此步操作时一定要打开杀毒软件的所有功能。下面你要做的就是等待……
然而光找特征码是不够的，我们还得学会怎样更改，而关于特征码地更改是非常有学问的！这里为了方便广大读者能学以致用，在此我只介绍部分理论知识，着重介绍实践操作，但是我想请大家注意，免杀的方法象你做完免杀的木马一样，都有生存时间，而过了这个时间，这种免杀方法就变的不在实用，或者免杀效果大打折扣！所以要想真正成为免杀高手，还的打牢基本功，不断创造出新的免杀方法，因为我们是在与杀毒软件厂商的专业技术人员“斗法”啊！

关于需要注意的问题就先讲的这，下面我带大家先来了解一下目前更改特征码的办法。

1. 大小写替换（只适用于文件免杀）
适 用 于：出现可识别的英文字母或词组，并且确定其不是相关函数（如输入表函数）。
操作方法：如咱们“实战演习”的第一节讲的一样，只须将大小写替换一下就可以了，例如特征码中出现了A，你只要将其替换为a即可。
原 理：利用WINDOWS系统对大小写不敏感，而杀毒软件却对大小写非常敏感这一特性达到免杀目的。

2.用00填充
适 用 于：几乎任何情况，但成功率不是非常高。
操作方法：例如我们找到了一处特征码0009EE7F_00000005，那么根据这段特征码信息我们可以知道它的位置在0009EE7F，大小为5个字节，也就是0009EE7F-0009EE83这一段内容（如图25）。

一直跟着文章实践操作的朋友肯定有疑问，你是怎么找到那个地址的呢？而我怎么找不到呢？那是因为WinHex的默认偏移量为decimal模式，我们单击Offset栏将其改为16进制模式即可（如图26）。

然后我们有选择的一处处地用00填充（如图27）。

记住要多试几次，80%的情况下你都能找到一处既能免杀又不影响程序正常运行的区域。对于定义出的内存特征码，只要将其内存地址用一个叫做《便宜量转换器》的小程序转换成16进制偏移量，然后在进行相应操作即可。
原 理：由于PE文件的特殊格式以及程序编译语言等问题，使得生成目标代码的效率并不高，难免出现一些“垃圾信息”，而这些信息存在与否对与程序是否能正常运行并不起决定性的作用，而当木马的这部分“垃圾信息”被定义为特征码时，我们完全可以将其删除，而删除的方法就是用无任何意义的00将其替换。

3.跳到空白区域
适 用 于：几乎任何情况，成功率比较高。
操作方法：还是以特征码0009EE7F_00000005为例子，假如我们使用00填充的方法失败了那么不要多想，接下来马上试试OllyDbg，关于OllyDbg我就不多介绍了，它是非常棒而且非常专业的一个动态反汇编/调试工具，这里我们只用它来帮助我们进行免杀作业，首先应该做的就是将我们的16进制偏移量0009EE7F转换为内存地址，因为OllyDbg的工作原理是先将程序释放到内存空间里，然后才能进行相关作业…这里要用到的是一个叫做《便宜量转换器》的小程序，我们用其转换完毕后得到的内存地址为0049FA7F（如图28）。

下面我们用OllyDbg打开我们的木马服务端，首先找到一处空白区，并域记下这的地址004A24A5，然后找到我们刚转换过来的地址0049FA7F，先将以0049FA7F开始以下的这三行数据选定，然后单击右键选则[复制]→[到接剪贴板]（如图29）。

将其复制到本文文档里备用，然后在将这三行代码一一NOP掉（如图30）。

最后右键点击0049FA7F，在弹出的对话框中选择汇编，并写入“jmp 004A24A5”这条汇编指令（如图31）。

记住，在点击[汇编]按钮之前一定先把“使用 NOP 填充”前面的勾去掉。然后我们记下汇编后0049FA7F的下面那个地址0049FA84（仔细观察图31）。好，下面我们回到004A24A5这处刚才找到的空白地址（如图32）。

然后用刚才汇编的方法把在本文文档里备用的信息一句句地汇编进去，然后在将最后一句代码的下一行004A24AA处加入“jmp 0049FA84”这行代码（如图33）。

然后单击右键→[复制到可执行文件]→[所有修改]（如图34）。

在弹出的对话框中选择“全部复制”然后保存即可。而对于内存免杀就省去了内存地址转换这一步了。
原 理：大家先看图35，由图中可知，正象此方法的名字“跳到空白区域”一样，这种方法的原理就是将原本含有特征码的信息转移到空白区域，并把原先位置的信息全部NOP掉，并在那里加一个跳转指令，让其跳到004A24A5处，也就是我们找到的空白区域，并把原来在0049FA84的信息移到这里，加完信息后在加一条指令让其在跳回去，以使程序连贯起来。

4.上下互换
适 用 于：几乎任何情况，成功率比较高。
操作方法：先用OllyDbg载入木马程序，假定其特征码为0009EE7F_00000005，我们还是先用《偏移量转换器》将其转换为内存地址，上面我们已经知道0009EE7F对应的内存地址为0049FA7F，然后在OllyDbg中找到相应位置，利用上面“跳到空白区域”里介绍的修改方法将 0049FA7F上下两句代码调换位置即可。而对于内存免杀就省去了内存地址转换这一步了。
原 理：杀毒软件的特征码定位是严格按照相关偏移量于内存地址进行的，而其实我们的应用程序中的机器码执行顺序的先后在一般情况下是没有死规定的，所以我们只需将其上下互换，杀毒软件自然就不认识了。

5.ADD与SUB 互换
适 用 于：在内存特征码中出现ADD或 SUB指令的，成功率比较高。
操作方法：用OllyDbg载入木马程序，假定其特征码所对应的地址中有ADD或SUB指令，例如00018A88：XXXXX 00000088 ADD ECX 10000000
我们可以将ADD ECX 10000000这段机器码改为SUB ECX F0000000，
更改完毕后保存为EXE文件即可。
原 理：我们都知道1+1=2，我们也知道1-（-1）=2，上面就是利用了这个原理，其中ADD指令的就是加意思，而SUB则是减的意思。虽然被我们互换了一下，但是最终结果还是一样的，可是换完之后杀毒软件就不认识了。

到这里，关于特征码的查找与修改就讲完了，但是除此之外呢？答案是还有许多！！下面我们就一起看看其他免杀方法。

4.）其他免杀方法
改文件头：
这里所说的改文件头包括加头去头，文件加花。关于加头去头，我们还是用OllyDbg。用OllyDbg载入后，OllyDbg会自动停在入口点（如图36）。

我们将头三行机器码复制保存起来，然后找到空白区域，用汇编的方法一一将其写入（如图37）。

然后在后面写入一条JMP指令，让其跳到初始入口点的第四行，相信一直仔细看本文的朋友一定明白其原理，如果忘了的话可以看上面修改特征码的第三种方法，原理与这差不多，修改完毕后如下所示：
004A2A73 0000 add byte ptr ds:[eax],al
004A2A75 0000 add byte ptr ds:[eax],al
004A2A77 55 push ebp

>004A2A78 8BEC mov ebp,esp
004A2A7A B9 04000000 mov ecx,4
004A2A7F ^ E9 CCF3FFFF jmp Server.004A1E50
004A2A84 0000 add byte ptr ds:[eax],al
004A2A86 0000 add byte ptr ds:[eax],al
004A2A88 0000 add byte ptr ds:[eax],al
上面的add byte ptr ds:[eax],al就是所谓的空白区域，我们看到改完后的头文件位于004A2A77，所以我们还要用PEditor改一下入口点，打开PEditor后载入文件，将入口点处的地址改为我们的新文件头地址004A2A77（如图38），保存后即可。

入口点加1：
打开PEditor后载入文件，将原来的入口点+1即可，例如我们的入口点为004A2A77，加1后应该是004A2A78（如图39），然后点击“应用更改”即可完成更改。

用这种简便的免杀方法即可以轻松的对付大部分杀毒软件。

用Vmportect加密：
Vmportect是新一代的软件保护程序，利用虚拟机保护代码，可以对指定的部分区段进行加密，能让被保护的程序复杂化，最开始他被用于PcShare里的SYS文件免杀，效果值得称道！其实对于普通文件他照样发挥的比较出色！下面我们就用他来加密我们的那个存在特征码以0049FA7F开始的区段。打开Vmportect后载入程序，在“转储”选项卡下的任意地方单击由键，在弹出的菜单中选择“前往地址”（如图40）。

然后在弹出的对话框中填入0049FA7F，点击“是”按钮即可跳到相应位置，然后点击“添加地址”按钮（如图41）。

并选则是即可，最后点击“编辑”按钮即可对以0049FA7F开头的区段进行加密（如图42）。

移动PE段的位置：
关于这种方法，可是绝学！今天借此机会贡献给各位朋友，希望此方法能在你免杀时助你一臂之力！那么修改PE段究竟能起到什么作用呢？首先当然可以达到长期免杀的目的，其次可以保护我们的免杀文件，其他人无法学走我们的免杀方法（A1Pass：要想真正达到这个目的，除此之外你还不能让别人看到这篇文章，所以这期的X档案赶紧全包了吧！呵呵！）。为什么呢？因为一些反汇编工具无法载入经过修改PE文件头的程序。
我们先来看看PE段，怎么看？先用WinHex载入我们的木马（如图43）。

看到图中PE那两个字了吗？这两个字的P所在位置就是PE段的入口点，我这里是00000100。我们在仔细看看图43，看看PE下一行的第一个16 进制是不是E0？好，下面我们用WINDOWS系统自带的计算器计算一下，得到16进制的E0就是十进制的224。这是什么意思呢？它代表的就是PE段的大小，在WinHex中一行能显示16个字符，224个字符正好是14行，我们将这14行内容复制保存起来，并记住PE段的末尾地址，我这里是 000001EF，最后将这个PE段用0填充（如图44）。

最后将我们事先保存的PE段上移，但注意不要超过“This program must be run under Win32”这段内容。由于PE段的上移，其体积必然也就随之增大，而从我们现在PE段所处的00000080到000001EF，总共是368个字节，换成16进制为170，全部更改完毕后如图45所示。

针对瑞星：
先用OllyDbg载入文件，只要将其第一条机器码push ebp改为pop ebp即可躲过瑞星的内存杀毒。

加壳压缩：
加壳是菜鸟的专利，虽然操作简便，但是免杀效果与“报质期”都不尽人意，但是做完免杀后在加个压缩壳还是很有必要的。
加壳免杀的第一步就是要找到好壳，大家没事可以到看雪论坛逛逛，他那里经常有好壳出现。但关于加壳的一些操作步骤我在这里就不费笔墨了，大家下去自己一看就会，其实就是个使用软件的过程。

好了，到这里，我们对木马的免杀就做完了，总共用了七大类共计14种方法！恐怕一时理解起来比较困难。下面我就在用“苏式教育”的方法为各位读者规划一下本文所讲的知识，方便各位读者以后应用与查找。

免杀的操作顺序：
1.主动查找可能存在的特征码
2.用CCL等查找特征码，并将其更改
3.尽可能多的更改输入表函数
4.更改文件头
5.Vmportect区段加密
6.移动PE段的位置
7.加壳压缩

免杀分析：

一、主动查找可能的特征码
操作时注意：有关注册表、文件路径的信息最好只用大小写替换的方法，不要改成其他内容，那样容易出错。
优 点：可以防范未来将要出现的特征码，并且同时可以体验DIY的乐趣，顺便打造自己的“专用木马”。
不 足：无法进行有效的免杀，效果不明显。
成 功 率：几乎100%，只要不改错地方，一般更改后的程序完全可以正常运行。

二、尽量多的更改输入表函数
操作时注意：将输入表函数移动到新位置时，函数名的第一个字母最好在本行开头，另外注意地址的填写规律，不要弄错。
优 点：可以防范未来将要出现的特征码，给特征码的定位带来干扰。
不 足：无法进行有效的免杀，效果不明显。
成 功 率：只要操作上没问题，基本能保证90%以上！

三、用例如CCL等工具查找特征码并将特征码更改
操作时注意：此步骤最需要的就是耐心与细心！不能丢三落四，要及时做好备份，以防不测。
优 点：针对性非常强，免杀中最有效的方法之一。
不 足：只能针对一个杀毒软件进行免杀，无法针对多个杀毒软件进行作业，免杀文件的存活期短。另外，此方法也非常耗费时间。
成 功 率：理论上100%，主要看你的经验与编程、汇编的底子。不过其实只要有足够的经验与方法，成功率就异常可观了！

四、移动PE短位置
操作时注意：16近制的转换一定要细心，并且时刻不要忘了开头与结尾的位置。
优 点：可延长免杀期，时对付特征码在PE文件头部的必杀技！同时可以保护我们的免杀文件，其他人无法学走我们的免杀方法。
不 足：除加壳外，就无法在对木马文件做进一步加工了。
成 功 率：大约75%左右，不确定的因素太多……

五、更改文件头
操作时注意：删除部分信息时文件结构的变化。
优 点：比较节省时间，免杀效果也很明显，是免杀中的有效方法之一。
不 足：免杀时间不长。
成 功 率：大约80%左右。

到这里本文也快要结束了，不知道大家学会了多少……可以说这篇文章是我下了很大的力气与很大的决心写出来的，希望各位高手多多指点。

主动防御技术
对于SSDT Hook，现在的所有Anti-Rootkit工具都能轻易找出并解除它的钩子（脱钩，Unhook），如IceSword、RKU、超级巡警等。
运行IceSword，首先点击“进程”，观察这里是否存在红色标记的进程，如果有，说明你的系统里绝对存在SSDT Hook，那红色的进程正是被底层驱动隐藏起来的文件，将它的具体位置记下来，并将其终止。
现在点击进入SSDT列表，会发现一些被红色标注出来的行列，记住它的“当前服务函数所在模块”，这个就是实施SSDT Hook的底层驱动文件。
然后，使用超级巡警切换至高级模式，将SSDT恢复为初始状态，它的所有防御就被解除了，现在直接查找刚才记录的文件去删除吧。
进一步试探：Shadow SSDT Hook
RK 作者不甘心，无论是出于技术上的抗争还是利益上的损失，反正，ARK既然让我丢了面子或瘪了钱包，那么，“有朝一日龙得水，定叫长江水倒流！”，一些人开始尝试研究破解Anti-Rootkit工具，誓与之抗争到底，另一些人，则开始了新的探索，最终，双方都有了成效：首先，pjf的大作 IceSword被成功反汇编了，虽然得到的并不是最初的C语言代码而是汇编语句，但是对于研究Rootkit的人来说，汇编在他们眼里，就如同看网络小说一样轻而易举，很快，就有人识破了作者的检测逻辑，可以绕过IceSword以及其他采用类似检测方法的工具的Rootkit就此诞生，甚至一部分RK 已经开始反过来监控ARK，一旦相应ARK的驱动被加载，立即开始玉石俱焚——将用户机器弄成经典的蓝屏死机，不明就里的用户在几次与蓝色屏幕对望后，通常都会无奈的放弃；而另一种蓝屏则是更深层次的问题导致的，下面会提到。
//文章出处:网络技术论坛(http://bbs.nettf.net) 作者:小金
而探索另一个方向的研究者们，也传来了捷报：Windows系统里，除了那个大家都在玩的SSDT（KeServiceDescriptorTable）以外，还有一个隐藏得非常深入的类似SSDT结构的数据段在同时工作着，它被称为“Shadow SSDT”（SSDT映射），这个“KeServiceDescriptorTableShadow”功能并未从系统内核中导出，但是通过外联的系统级别调试器，却看到了它的踪影。Shadow SSDT的作用和SSDT本身差不多，只不过它主要是提供一些基于图形用户界面（GUI）下的系统服务函数，并保存了一份与SSDT相同的服务列表，当然，这也是提供给基于GUI下的程序调用的。Shadow SSDT被安排在win32k.sys中，非常少文献提及它，因此这几乎是个被人遗忘的角落，Rootkit作者们很快就发现，控制这里也能达到一定的效果，因为Shadow SSDT同样具备了SSDT的所有功能，只不过是要利用的时候多了一些步骤而已，于是RK又有了新的玩法，这一次，轮到ARK傻眼了，那时候ARK根本没有做到Shadow SSDT这一步，于是，只钩住Shadow SSDT的Rootkit们得以无法无天的生存下去，任由用户怎么发现恶意程序怎么恢复SSDT都好，始终都是影响不到此类Rootkit！
这个情形，一直到具备了Shadow SSDT检测功能的ARK工具出现才结束，例如大名鼎鼎的RootKit Unhooker（RKU），它那强大的SSDT以及其Shadow检测脱钩功能，帮助许多人解决了这些新生的捣蛋鬼，于是，Rootkit作者们又开始寻求新的生存之道。
此类Hook由于出现得比较晚，很多当初流行的ARK都没有涉及这块，所以，我们只能使用RKU、狙剑等工具对其进行操作。
运行RKU（Rootkit Unhooker），它是英文软件，但是操作十分简便。点击“Shadow SSDT”，如果系统中存在Shadow SSDT Hook，你会发现软件底部状态栏里“Services/Hooked”不再是“xxx/0”的状态，同时相应被Hook的函数显示行里， “Hooked”一栏为“Yes”，现在记下这个文件的位置和地址，然后直接点“UnHooked ALL”，接下来，去找文件删除吧。
逼近顶峰：Inline Hook
世界上最荒谬的事情是什么？是顺着被人故意弄乱方向的路牌，往错误的方向走了好远都没察觉到有问题？还是被朋友恶作剧的将男女洗手间的标识换了位置？如果有天去造访寺院，却发现里面居然是清一色的道士在念经，你一定会惊呼，这简直太荒谬了！
在狂热的Rootkit领域里，类似的荒谬正在散布开来，那就是高级的Hook形式——Inline Hook。
在最初的运作流程里，所有被设置了挂钩的函数操作，最终还是要回到原始功能模块内处理的，毕竟第三方程序作者不是Windows系统编写者，为了保证系统的正常运行，最明智的做法当然是让被拦截的相关函数请求在经过自己编写的模块的层层检测并发现无害以后，立即将这个即将进行正常工作的请求原封不动的送到它该干活的地方去，以便系统完成整个工作流程，所以大家都在打SSDT等地方的主意，就是为了在这条必经之路上插上一脚，力求能绊倒那些看着不顺眼的路人。而现在，路上出现会砍脚的保安了，怎么办，难道玩不下去了吗？然而，迎接挑战正是每个研究者的兴趣所在，于是，荒谬的念头带出了可怕的技术，这就是 Inline Hook。
其实，Inline Hook早就作为一种高级的Hook技术存在了，在用户层上的一些特殊程序如游戏外挂等，为了获得最完整可靠的数据，它们都不再采用错误指路牌的方法来将数据转移了，因为这样很可能会因为触发程序编写者针对此问题而设置的处理程序，最终功亏一篑。那么，怎么样才能让这个处理程序不能达到触发条件呢？那就是千万别去钩这个程序，但是如果不钩住程序，又该如何取得相关数据呢？在这样的思考模式下，一种新的钩子技术诞生了：它虽然也在玩钩子，但是它却不是来钩目标程序的，而是将系统里相应的API函数给虏了去，由于任何普通程序作者对系统API都是绝对信任的，于是，当他们的程序请求调用相关API并将参数一同发送过去时，由于提供这个API的相应模块被钩住了，它的“先知”——布施钩子者就抢先一步得到了数据内容，接下来就得看作者的编程功底来决定程序的生死了，因为作者并不能自己写出相应的系统函数，他就必须得设法将数据送回原函数执行模块里去，这一步稍有差错，就会导致调用这个API的程序崩溃退出。
正因如此，Inline Hook是一种相对一般Hook而言更复杂的技术，除非作者有较深的编程功底和对系统的了解，否则冒冒失失就大量使用这个技术是很容易出问题的，不仅受害者不好过，攻击者也无法取得他所需数据，得不偿失。
既然在用户层（Ring 3）上使用Inline Hook都要如此注意，那么在Rootkit的世界里有没有人吃螃蟹呢？答案是一定的，当钩住SSDT和Shadow SSDT的途径都被堵死以后，Rootkit技术终于向Inline Hook迈出了一步。
设想一下，当所有检测工具都在虎视眈眈SSDT这个关口时，某个Rootkit早已用自己的函数把系统内核里的敏感函数给替换了，当用户层的函数操作请求通过正常的SSDT找到相应内核态函数的执行主体时，却不知道这个执行主体早已被Rootkit冒名顶替了，那么情形会是怎么样的呢？虽然所有检测工具都报告情况正常，但是机器内其实早已被Rootkit安家，如果这个Rootkit预置了在某个时刻进行破坏行为的逻辑，那么用户直到系统出问题的那一刻，都还不知道究竟发生了什么事情！
位于Ring 0的Inline Hook是十分隐蔽的，除非研究者对系统了解较深，否则他想破了头也不能找出原因所在，更别提连杀个辜n›程的概念都很迷茫的普通用户了。但是使用 Inline Hook是必须付出代价的，由于内核的复杂性，尤其因为位于这一层的函数是所有程序都必须频繁调用的，很多时候如果设钩者没考虑周全，导致某个已经 Inline Hook的函数被意外的直接调用，就会导致严重后果。所以，使用Inline Hook的Rootkit能否正常稳定的工作，是与作者的水平连接得十分紧密的，一个不成熟的用户层Inline Hook程序大不了就是跟着它要监控的程序一起引发内存错误导致非法操作异常退出，仅此而已，但是到了系统核心层，这里可没有任何错误检测模块来保证你的程序在做出会导致内核崩溃的事情之前就赶紧将它终止——这已经是最底层了，一个错误的内存读写都会直接引发内核级别的崩溃，即我们俗称的“蓝屏死机” （BSoD，Blue Screen of Dealth）。于是，不成熟的Inline Hook Rootkit的代价就是系统变得及其不稳定，在用户看来，电脑表现出来的症状就是莫名其妙的非常容易蓝屏，这就是技术不成熟的Rootkit导致的后果，只不过，这个代价是由受害的用户来承担的。
不过，目前能流行开来的Inline Hook Rootkit，基本上都是已经在开发者的机器上经历了无数次蓝屏考验后才出场的，所以通常情况下，用户并不会因为这些Rootkit的存在而频频蓝屏，并且，它已经成为当前Rootkit的主流技术。
对付Inline Hook，无论是狙剑、RKU还是Wsyscheck都可以做到，以狙剑为例，点击程序主界面的“扩展功能”，然后点击“SSDT检查”，你会突然有眼花缭乱的感觉，所以请点击右键——“筛选可疑项”，让它仅仅把异常部分显示出来（注意那个SnipeSword.sys，它是狙剑自身的驱动，不要弄错了），如果系统存在异常，“HOOK类型”里会列出相关说明，如HOOK、Inline-Hook等，首先可以尝试右键选择“恢复所有HOOK”，然后刷新一次，如果仍然列出异常项目，就得在相应的项目列上点击右键选择“恢复选定的Inline-HOOK”了。
紧紧缠绕的寄生藤：FSD Hook
//文章出处:网络技术论坛(http://bbs.nettf.net) 作者:小金
随着RK与ARK的斗争进展，SSDT Hook（包括Shadow Hook）的道路被清理了，Inline Hook也被揪出来清理了，但是一些用户惊讶的发现，他们仍然无法删除这些已经暴露在眼皮底下的文件，这是为什么？
在解说这个问题之前，我们先来了解一些概念。为了让用户敲打键盘、点击鼠标、插入U盘等就能直接进入计算机的世界，操作系统在幕后是做了相当多的工作的，这些在底层运作的功能层层汇聚，最终建立出一个可用的操作平台，其中，负责管理磁盘数据和文件读写的部分被称为“文件系统”（File System，FS），其中，Windows系列操作系统是采用IOS（Input/Output Supervisor，输入输出管理程序）技术进行文件系统管理的。它接管所有的存储设备，如硬盘、可移动式磁盘、光驱等。
IOS是一种层次结构的管理方案，展现在用户层上的是各种应用程序的读写操作，其下一层紧接着的是被称为“可安装文件系统”（Installable File System，IFS）的接口层，这一层是以下各层的最终汇聚，通俗点说，也就是我们在屏幕上看到磁盘盘符、光驱盘符、U盘盘符、网络磁盘映射盘符等图标并对它们进行操作的由来。继IFS以后，就是各种文件系统驱动所在的层，即“FSD”（File System Driver，文件系统驱动），这一层直接与IOS连接，用于接受并处理属于自己任务分派内的数据；FSD下一层直达IOS，而到了IOS的下一层，数据就开始往硬件化发展了。
而这次Rootkit的目标，就是到达IOS之前的最后一层：FSD。
FSD在Windows系统中属于开放给编程人员可接触到的最深入的一块区域（再往下就是操作系统自身提供的驱动和硬件厂商的事情了），所以，这一层的权限是很高的，控制了这个层次，开发者就能掌握到最多最全面的文件读写操作控制，于是，当所有的道路都被Anti-Rootkit工具阻挠后， Rootkit作者开始反抗，方法是阻止他们的工具将揪出来的Rootkit直接歼灭。
FSD并非绝对禁地，在这之前，反病毒厂商和磁盘数据加密厂商早就在这一层里专研了，一部分人致力于编写自己的FSD，而更多的人，是通过编写FSD Filter Driver（文件系统驱动过滤器）来达到目的，以便从中析出它们敏感的数据来进行其他工作，而Filter驱动的一个要点就是钩住FSD，即“FSD Hook”。当FSD被你掌握后，你就可以通过操纵它的数据来控制别人的文件读写请求，对于Rootkit来说，它们可以将一些敏感文件如自身驱动程序文件、用户层相关文件等设置为除了它们自己以外的程序都无法对其进行读写的效果，到了用户层，直接反映出来的就是无法对其进行编辑、改名和删除。
用了这个技术，Rootkit作者们又可以偷笑了，因为即使用户用各种手段找到了它并将其进程终止，他也无法操作那些被保护起来的文件。
只是，钩子始终是钩子，总会有人去脱钩的，在克制FSD Hook技术的ARK工具出现后，一部分人面对着十分难以操作的FSD而放弃了，因为到了这一层已经非常容易导致系统不稳定了。
而一些人，仍然走了下去。
如何清理这个类型的Rootkit呢？以最容易操作的Wsyscheck为例，首先运行Wsyscheck（你会发现一个有趣现象：IceSword无法检测到Wsyscheck的Hook，因为它用的技术是Inline Hook和FSD Hook），点击进入“内核检查”，选中“FSD检查”，留意“代码异常”项里是否有标注为“Yes”的项，如果有，请在界面里右键点击，并选择“恢复所有函数”。Wsyscheck的进程列表并非使用IceSword一类的逻辑，所以如果你看到存在红色的列表也不要太过于紧张，它只是表示这个程序是没有系统签名验证、且类型特殊（如服务、加载驱动等）的应用程序而已，并非是IceSword这样的“坏人标识”。
产于极端的终极技术：FSD Inline Hook
Rootkit到了FSD Hook这一层，对系统造成的影响已经相当危险了，然而，由于出现了对抗的工具触动了某些人的利益，终于，一个著名的流氓软件吃了这只大家都会因为良心不安而不去触碰的螃蟹——FSD Inline Hook。
在及其重要敏感的FSD环境下放钩子本身就是一件要求很高的事情，而用自己的函数去替代这个雷区的系统函数，更是被很多人认为是严禁操作的事情，而现在，真的有人带头违反了，以后的局势又将如何呢？
所以，将CNNIC列为当前流氓软件作者的所有研究目标都不过分，因为CNNIC身上，就具备了多种高级技术，只可惜，全都没有用于正道。
Inline Hook的概念我们在前面已经说过了，现在主要说说这个Rootkit的行为以及后果。
也许是CNNIC的开发者对于自家产品频频被删除而恼怒了吧，这次最新发布的程序中，FSD Inline Hook终于出现了，它直接将操作系统厂商编写的相关功能使用自己的函数去取代了，而搞过FSD开发的人都知道，这一层的功能函数对硬件平台、系统版本是具有高度依赖性的，每个操作系统采用的函数都会有些许差异，但是操作系统厂商并不是制作通用的FSD方案，更何况，这个标准就是他们自己提出来的，所以这些变动对他们而言都是无伤大雅的，但是对于第三方厂商来说，他们缺少必要的开发文档（微软并未公布任何涉及FSD Inline Hook技术文档，也不鼓励开发者这样做）和齐全的硬件测试平台，所以，在䷜n齐全的操作系统环境和硬件配置下实现的技术，必然很容易就导致受害用户直接欣赏到赏心悦目的蓝屏。
CNNIC必然清楚这点，但是，他们什么也不顾了。而且，CNNIC的技术水平果然也没达到稳定的水平，在被CNNIC安家的系统里，用户只要运行 IceSword检测，就会直接导致蓝屏，这是因为它们都同时钩住了一个底层函数，但是下钩的位置存在些许偏差，例如，一个钩住了头部，一个钩住了屁股，于是内核受不了这很黄很暴力的行为，而直接崩溃了。
但是，毕竟已经有人起了头。以后的Rootkit世界将会变成什么样子，谁也不知道。
//文章出处:网络技术论坛(http://bbs.nettf.net) 作者:小金
要消灭CNNIC以及采用FSD Inline Hook技术的Rootkit，首选应该是360安全卫士，但是如果出现了360安全卫士也未加入识别的Rootkit，用户就得使用“狙剑”了，解决方法与前面提及的大同小异，只需要对其“脱钩”就可以了，关键在于，用户还得留意Rootkit的用户层程序是否也使用Hook，如线程注入等。
RK 多了，ARK也多了，这是好事还是坏事呢？答案自然是后者，无论是RK还是ARK，它们都必须进行同一个行为，就是进入系统内核层次并达到目的，于是不兼容现象往往会发生在几个ARK之间，例如，在运行了狙剑后，Wsyscheck经常会直接报错退出，而如果用户在开启了Wsyscheck的情况下运行 IceSword，他将会有很大几率看到那蓝底白字的屏幕。
三. 结语
虽然到处都在提倡和谐网络的普及，但是，“健康上网”仅仅是指代那些黄赌毒而已吗？在利益面前，开发者的正义感越发渺小起来，我们的网络世界，是被瘟神紧紧跟随着的。技术的斗争越发激烈，但是用户的电脑知识是不会跟着时代发展而自动填充的，最终，大众上网的人民成了这一切技术较量的受害者。
这个荒谬的发展方向，何时才能休止呢？

文件如下： 其中image.jsp用来产生验证码，请参考下面代码。

一、code.jsp

<!DOCTYPE html PUBLIC “-//W3C//DTD XHTML 1.0 Strict//EN”
“http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd”>
<html xmlns=”http://www.w3.org/1999/xhtml” xml:lang=”gb2312″ >
<head>
<meta http-equiv=”content-type” content=”text/html; charset=gb2312″ />
<meta name=”robots” content=”all” />
<title>Dolphin Document</title>
</head>
<body>
<img id=”acimg” src=”image.jsp” />
<script language=”javascript” type=”text/javascript”>
setInterval(‘document.getElementById(“acimg”).src=document.getElementById(“acimg”).src’,1000);
</script>
</body>
</html>

二、image.jsp

<%@ page contentType=”image/jpeg” import=”java.awt.*,java.awt.image.*,java.util.*,javax.imageio.*” %>
<%!
Color getRandColor(int fc,int bc){//给定范围获得随机颜色
Random random = new Random();
if(fc>255) fc=255;
if(bc>255) bc=255;
int r=fc+random.nextInt(bc-fc);
int g=fc+random.nextInt(bc-fc);
int b=fc+random.nextInt(bc-fc);
return new Color(r,g,b);
}
%>
<%
//设置页面不缓存
response.setHeader(“Pragma”,”No-cache”);
response.setHeader(“Cache-Control”,”no-cache”);
response.setDateHeader(“Expires”, 0);

// 在内存中创建图象
int width=60, height=20;
BufferedImage image = new BufferedImage(width, height, BufferedImage.TYPE_INT_RGB);

// 获取图形上下文
Graphics g = image.getGraphics();

//生成随机类
Random random = new Random();

// 设定背景色
g.setColor(getRandColor(200,250));
g.fillRect(0, 0, width, height);

//设定字体
g.setFont(new Font(“Times New Roman”,Font.PLAIN,18));

//画边框
//g.setColor(new Color());
//g.drawRect(0,0,width-1,height-1);

// 随机产生155条干扰线，使图象中的认证码不易被其它程序探测到
g.setColor(getRandColor(160,200));
for (int i=0;i<155;i++)
{
int x = random.nextInt(width);
int y = random.nextInt(height);
int xl = random.nextInt(12);
int yl = random.nextInt(12);
g.drawLine(x,y,x+xl,y+yl);
}

// 取随机产生的认证码(4位数字)
//String rand = request.getParameter(“rand”);
//rand = rand.substring(0,rand.indexOf(“.”));
String sRand=”";
for (int i=0;i<4;i++){
String rand=String.valueOf(random.nextInt(10));
sRand+=rand;
// 将认证码显示到图象中
g.setColor(new Color(20+random.nextInt(110),20+random.nextInt(110),20+random.nextInt(110)));//调用函数出来的颜色相同，可能是因为种子太接近，所以只能直接生成
g.drawString(rand,13*i+6,16);
}

// 将认证码存入SESSION
session.setAttribute(“rand”,sRand);

// 图象生效
g.dispose();

// 输出图象到页面
ImageIO.write(image, “JPEG”, response.getOutputStream());

%>

因为自己一直在用firefox的浏览器,而且又正在进行商城的模板制作,大部分东西都是从头开始学的,对于对代码标准控制非常严格的firefox来说,这个技巧真的很重要,掌握这个书写顺序将对网页布局有很大帮助，经过firefox下的检验，一般在IE下也就没什么问题了。贴来分享下,仅供大家参考：