在殺毒軟件越來越強的攻勢下，擁有一只不被查殺的木馬，已經成為了廣大黑客愛好者的渴望。但是不被查殺的木馬發布的那一天，就意味著它已經命不久已。授人以魚，不如授人以漁，所以我們隆重推出了這個免殺特訓班，相信大家在這里能夠學習到自己需要的真本領。

一 、殺毒軟件的查殺模式

這三種是目前殺毒軟件常用的殺毒模式。

1.文件查殺

殺毒軟件對磁盤中的文件進行靜態掃描，一旦發現文件帶有病毒庫中的病毒特征代碼就給予查殺。（黑洞2005 服務端VS 卡巴做演示）

2.內存查殺

殺毒軟件把病毒特征代碼釋放到內存中，然后與內存中的文件進行比對，發現有文件中帶有病毒特征代碼就給予查殺。（灰鴿子2005服務端 VS 瑞星做演示）

3.行為殺毒

殺毒軟件用木馬運行后的一些特定的行為作為判斷是否為木馬的依據。比如：啊拉QQ大盜在運行后會增加一個名為NTdhcp.exe的進程，還有彩虹橋的服務端在運行后會在注冊表添加名為HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}\stubpath的鍵值。

[名詞解釋]病毒特征代碼：殺毒軟件截獲到一個木馬后，將會提取木馬中比較關鍵的一段代碼作為辨認這個木馬的特征代碼，在殺毒過程中把它拿出來和磁盤中的文件做比對。就和我們辨認人一樣，一看到一個人就把他的相貌特征記下來，比如：大眼睛啊、瓜子臉啊，在下次見到他的時候一眼就可以認出來。

二 、木馬免殺技術大盤點

下面分析一下目前木馬躲殺幾種手段，主要針對文件查殺和內存查殺！

1.加殼免殺

大家應該都會，建議你選擇一些生僻殼、強殼、新殼，或者加多重殼。

2.修改殼程序免殺

主要有兩種：一是通過加花指令的方法把殼偽裝成其它殼或者無殼程序。二是通過reloc類軟件修改殼的區段入口點。

3.修改文件特征代碼免殺

此方法的針對性是非常強的，就是說一般情況下你是修改的什么殺毒軟件的特征代碼，那么就只可以在這種殺毒軟件下免殺。主要方法是：直接修改法 和 跳轉修改法。其中跳轉修改法可以用一些軟件來做到，比如：vmprotect ，我給用工具實現跳轉修改法，取了一個新名字叫：加密修改法。

4.加花指令免殺

此方法通用性強，而且效果好。主要有兩種：加區加花和去頭加花。

5.修改內存特征代碼

目前內存殺毒的殺毒軟件強的并不多。修改內存特征代碼對于初學免殺的朋友來說，難點應該是在內存特征代碼定位上。至于內存特征代碼的修改其實和文件特征代碼的修改是一樣的為：跳轉修改法和直接修改法。但是為了避免出錯，建議大家盡量只使用直接修改法。

6. 阻止殺毒軟件掃描內存

只是一個思路，可能要編程來實現。聽說有的殼程序可以做到，但是本人還沒有測試和驗證。

三、殺毒軟件的設置

做免殺需要把做出來的免殺木馬在多種殺毒軟件下測試，看看是否已經免殺。另外我們在定位病毒特征代碼的時候也需要殺毒軟件，所以計算機上安裝多種殺毒軟件是必然的。

但是一般安裝兩種或者兩種以上的殺毒軟件在計算機上它們就會沖突，輕則計算機運行變慢，重則死機。

下面我就教大家來設置殺毒軟件，實現一臺計算機安裝多個殺毒軟件。

第一、關閉自動更新病毒庫

第二、關閉定時掃描

第三、關閉實時監控

第四、刪除殺毒軟件寫在注冊表的開機自動運行項目

第五、把計算機服務中殺毒軟件添加的服務自動的改為手動。