免杀木马制作解密

如今，谈马可谓色变。木马的确比常规病毒更狠，监控你的操作，吞噬你的隐私，破坏你的数据。我们安装了最新的杀毒软件，每天进行补丁的更新，还有防火墙的时时保护，但——为什么还会中木马？

    因为，有一种木马叫免杀！

    首先提醒大家的是，免杀是个相对词，针对目前的技术而言，木马免杀成功率并不高（以多引擎检测为依据）。但用户安装的安全软件相对单一，所以具有针对性的制作免杀木马，对于个人用户而言就是绝对的免杀。

    接下来我们就看看黑客们是通过何种方法达到免杀目的的。

    我们首先制作一个普通的灰鸽子木马服务端，然后在VirusTotal的多引擎系统中扫描，可以发现，绝大多数的杀毒引擎都能够识别出该木马程序。

    免杀方法大体上分为加密代码、花指令、加壳、修改程序入口以及手工DIY PE。至于纯手工操作并不推荐，因为这种方法制作出的程序效果虽好，但太过复杂，需要很强的汇编语言基础，并对Windows内核有一定认识。

    1.代码

    MaskPE内含多种信息模块，可以方便的修改程序指令，打乱源代码，针对利用代码识别病毒的安全软件很有效果。Load File以后选择一种Information模式，最后Make File即可。

    2.花指令

    花指令就是一些汇编指令。原本用在Crack中，但目前更多的引入到木马修改上。这种方法使得杀毒软件不能正常的判断病毒文件的构造。对于采用文件头提取特征码的杀毒软件有特殊的杀伤力。

    添加花指令方法可以采用调试工具，由于我们在后期还要加壳处理，实际上直接用超级花指令的方法修改就可以了，模块自行选择。