人人都能过杀软-简单的免杀方法＋实战技巧

适合人群：

本人不懂c汇编等语言，但我一样能过杀毒（360/诺顿／avg／nod32等）。

我也没人教就是看了网上教程会了一点点！如果各位大神你们看着不爽，那么请你忍忍不要喷！

免杀方法：

对于一个不懂汇编的人来说，我是怎么过杀软的呢？

后面将会用360做为实例来给搭建演示。

1. 观察杀毒软件报的病毒名称，如果你修改后文件能正常使用并且杀软报毒名称变了，这样一般就可以过掉。
2. 不管你怎么换资源或加壳杀软一只报同样的名字，那么就去定位一下特征码。
3. 不同的杀毒软件免杀的方法略有不同。

例如：360报qvm7免杀方法是替换资源文件和版本信息。

4.本人常用的免杀方法：替换资源／加花／修改入口点／加壳等。

0x00 免杀前的准备

本次实例将会使用360杀毒来给大家演示。

病毒文件主要以提权EXP老给大家演示！

1.安装360杀毒软件，并把360杀毒的几个引擎全部安装上更新最新病毒库。

2.我在测试360杀毒的时候发现过几个问题：

a) 不管你怎么杀360就是不报毒！那么请还原虚拟机！

b)360杀毒安装包。有老版本的尽量使用老版本的安装包。应为新版本的即使你关了上传还是会上传。

c)本人使用的是360sd_std_4.2.2.4092版本。在安装好后系统防火墙会提示是否开启安全卫士！具体名字记不清楚了，这个地方直接选择拦截就行了，没什么用。如果你选择的放行，那后面你做免杀的时候需要全部关掉360杀毒，选择拦截的话，只需要禁用360杀毒的实时防护功能。

3.360杀毒在全部安装完成和补丁升级成功之后需要关掉：可疑文件上传。

4.在做免杀时请在断网环境下做！

5.360有5个引擎，再过的时候可以一个个去过。

6.需要用到工具包：小七免杀工具包（其实就用几个工具而已）

0X01 Ms15-051过360杀毒4引擎

替换资源

上图中是在联网环境下测试：可以看到360云报了！（小红伞本地也是报的！）

开始：

1.先断网

2.使用下图工具先替换下资源文件，看看360什么情况！

3.下图可以看到360已经不杀了！小红伞本地也不杀了！

我只是添加了一个版本信息而已！

4.联网查杀也是不杀！我就不上图了！这就成功过掉了360杀毒的4个引擎！

修改字符串

仍c32里面！

修改一下：

我们杀一下看看！

也成功过掉了！

添加字符串

仍c32 拖到最后，随便加点东西！

来联网杀一下看看！

过掉了！

0x02 pr 过360杀毒4引擎

修改区段

联网状态下杀一下看看什么情况！360云报！

下面我就在联网情况下过！

使用的工具：

修改区段名称：

0x03 大灰狼远控过红伞

朋友发我的时候是被小红伞干的！

断网环境测试。这个病毒名字一般加一个加密壳就过掉了！我这里加个资源！

红伞本地过掉！

qq管家过掉！

0x04 WCE 过360杀毒4引擎

联网查：

360云报！

断网小红伞报！

我们加花看下变不变！

联网查杀可以看到病毒名字变了！

断网看红伞！已经过掉！

现在本地都过了！就剩联网360云了！

拖c32里面去！拉到最后面！随便改！

成功过掉360 杀毒4个引擎！

0x05 大灰狼远控过瑞星

被干了！

加壳过掉！

0x06 getpassword过百度杀毒

替换资源

百度杀毒默认安装：原始杀一下！

加点东西！过了！

开启监控！测试！无压力！

垃圾字符串

仍c32里面到最后面加点东西！

增加区段

真是渣！增加一个区段！就过了！

0x07 字体提权过百度杀毒（PE打乱）

原始被杀

打乱PE

总结：

对于我等屌丝！要过杀毒就要想尽一切能修改程序还不叫他损坏的方法！

作者：七岁小毛猴

来源：Ms08067安全实验室