木马免杀之二进制文件免杀|断刀流技术博客

以往写文章都没有一个核心主题，想到什么就写什么 非常的凌乱。不仅不利于深入学习，而且还容易让初学者没有一个学习的方向感。我决定这个月的文章主题，以木马免杀技术为核心。从而深入浅出的围绕木马免杀这个主题，进行展开讲解和讨论。本文章转载至《断刀流技术博客》

文件免杀

我这里所说的文件免杀的文件是指“二进制可执行文件”。所谓的二进制可执行文件，你可以通俗的理解为运行在电脑上的exe程序。这里我就简称为文件免杀，方便接下来的讲解。

image

文件免杀优点

文件免杀相比源码免杀 是接触不到木马程序源代码的。既然不需要接触木马的源代码，那么也就不需要会C语言或者是C++。直接运行直接配置上线就可以了，降低了木马免杀的门槛。让那些不会编程的小白，也可以亲密接触木马免杀的奥秘。

image

文件免杀的缺点

由于接触不到木马程序的源代码，修改起来有诸多的限制。首先需要木马不能是被加过壳的，其次修改特征码是在c32或者是OD中进行。修改后可能会导致程序不能运行，最后不能随意给木马程序增加或删减某些功能。

image

想要给生成出来的木马免杀 也是非常的简单。你只需要会一些汇编指令，然后在熟练的掌握mycc、c32和od的使用。最后在根据杀毒软件报毒引擎随机应变，基本上也能搞定一些木马的免杀了。

image

像上面报毒的是云引擎的QVM07，我们可以根据他报毒的类型去找解决方案。像这种报QVM7的多半杀的是MD5值，只需要给文件增加一些资源文件 改变木马程序本身的MD5值，就可以轻轻松松的免杀360了。

image

报毒的类型不同，解决的方案也不尽相同。免杀是一门非常灵活的技术，需要学会随机应变，没有听谁说一招鲜吃遍天的。

image

这篇文章先简单的给大家介绍一下文件免杀，下篇会给大家讲解一下源码免杀。从基础的一点一点来，不要怕枯燥怕没有干货。基础的说完了我就会讲解干货技巧。