@@给大家发5个免杀教程--菜鸟进@@(1)

a6380841

@@给大家发5个免杀教程--菜鸟进@@(1)

第一课 免杀环境的搭建
        
大家好，很高兴认识朋友们
首先欢迎大家来到饭客网络安全培训基地学习
从今天开始，将由我来带领大家学习黑软免杀的方法和实战免杀
先来看看黑软免杀系列教程的课程列表吧

这节课是教程的第一课，我们来搭建免杀的环境
1.影子系统的安装使用
        如过你以前做过免杀的话，而又没任何保护措施，那每隔十天重装系统是很平常的事了。因为在测试木马的时候，我们都是在本机测试运行的，而有时候没卸载，或者安装的木马多了，这样对系统的稳定性都有很大的影响，电脑就运行很慢了，或者在测试木马的时候它就不上线了。这就需要你安装一个影子系统
        影子的原理就和网吧的还原卡差不多了，每次重启之后，被影子系统保护的磁盘就会恢复成上次的样子，所以也就不存在上面的那些问题了
        我就在虚拟机里安装一个影子系统吧
        安装完影子系统之后，如果你想让它开机的时候就启动，就得按这样来设置一下了。如果以后不想影子开机启动，那就在开机的时候按“↓”键，选择正常模式启动

2.虚拟机（VMware Workstation）的安装使用
        当我们安装了影子系统之后，你会发现仅仅这样做还是不够的，因为我们在做完免杀之后，经常要测试木马的上线和功能，那每次重启也是不好的。所以就得安装一个虚拟机了。
在虚拟机安装完后，就得新建虚拟机，然后为之安装操作系统
如果想让鼠标在主机和虚拟机之间自由移动，就还得为虚拟机安装虚拟机工具
然后为虚拟机联网，网络类型为NAT
再就是虚拟机和主机的共享设置，虚拟机保存快照和恢复快照
安装系统下载地址：
如果不能下载了就自己迅雷搜索下系统名称
VMware Workstation下载地址：
http://www.namipan.com/d/7076395 ... c06ba0d367caa4e2c02
深度技术Windows XPSP3完美精简版V6·2安装版
http://down.yaoxp.com/Deepin-LiteXP-SP3.ISO
深度会员windows2000精简版
http://www.gougou.com/search?sea ... ;ty=0&pattern=0
Windows Server 2003 SP2 企业版 ISO  
ftp://222.73.230.104/Windows Server 2003 SP2 企业版.iso
企业版产品密钥:JCGMJ-TC669-KCBG7-HB8X2-FXG7M

3.杀软安装和多个杀软的安装技巧
        要免杀，我们就得安装杀毒软件吧，那使用和安装杀软也是有技巧的，我们要安装这么多的杀软，那也不可能全去购买吧，那就得找试用版或找它们的注册码了。
瑞星、金山、卡巴、江民、nod32、小红伞等杀软都是有试用版的
金山毒霸这里有通行证申请专家，卡巴的激活码网上一搜到处都是，nod32有360的免费版本，小红伞官方有免费使用版
如果要在一台电脑里安装卡巴和其他杀软的话，一定得先安装卡巴，否则安装了其他杀软以后就不能安装卡巴了
趋势和avast不能安装在同一电脑里
F-Secure和麦咖啡不能安装在同一电脑里


4.各个杀软特点介绍
世界上的杀毒软件有很多，从下面两个网站就可以看出来：
http://www.virscan.org/
http://www.virustotal.com/zh-cn/
如果你想测试你的免杀成果的话，最好还是不要把它上传到这些网站里去
因为他们是会把你上传的木马传送到杀毒软件公司去的，那样免杀就不能长久了
        学免杀，首先就得对每个杀软的特点都了如指掌，那样在免杀的时候才能做的更快、更好
        先来说说杀毒软件引擎与病毒库的关系：其实病毒库与杀毒引擎没有直接的关系，杀毒引擎的任务和功能非常简单，就是对指定的文件或者程序进行判断其是否合法。而病毒库，只不过是对杀毒引擎的一种补充。因而，好的杀毒软件，重要在引擎的优秀，病毒库只不过是补充，而且病毒库越大，杀毒速度肯定会降低，这样就降低了查杀病毒的效率。因为病毒库杀毒的过程，是引擎把判断能力交给病毒库，用病毒库与指定的文件进行对比判断。
        谈到当前的杀毒软件发展方向，我认为启发机制是目前杀软的主流方向。启发式杀毒代表着未来反病毒技术发展的必然趋势，它具有人工智能的特点。因为启发机制直接影响杀毒软件文件监控以及文件扫描对于未知病毒的防杀以及查杀能力，而且其效率高，消耗系统资源小。
        说到启发就不得不说下主动防御，主动防御目前也是很多杀软的主流方向。但主动防御虽然固好，但是效率等都不如启发。还有就是如果主动防御的进程一旦被病毒结束或者破坏了就什么事都做不了了。
        至于传统的特征码匹配技术，靠截获病毒样本来反病毒是很被动的，只有对非常流行的木马病毒才比较常用。先从监控来看，瑞星占用内存非常大，监控效果也不怎么理想，金山毒霸也差不多，很多木马都在它们的监控下安装而没任何提示。主动防御做的好的，要算卡巴了，很少木马能在它的监控下没任何提示。，再加上卡巴的虚拟机杀毒和启发杀毒，很多木马都被它踩在了脚下。卡巴的不足之处还是在它的脱壳引擎，有时候随便改下壳就不认识了，甚至连花指令有时候都能糊弄卡巴，这点是应该考虑改进改进了。感觉现在的瑞星和金山有点落后了，也就是说对新的病毒或者病毒变种的查杀能力还有所欠缺，尽管瑞星的虚拟脱壳引擎还不错，很多加壳木马都不能逃脱查杀。相比之下，国外的杀软就不同了，很多刚编写的木马都不能逃过它们的法眼。比如nod32、小红伞和大蜘蛛。都能有效的防止新病毒，而且它们的免杀难度也很高，很多对免杀知识还不是很了解的人是很难达到免杀它们的目的的。
        另外国内也出来了一款主动防御软件--微点。防杀新病毒、免疫病毒的能力的确很不错，它的行为分析技术不仅可以实时查杀已知病毒，还可以主动防御未知病毒，在这方面比之卡巴甚至都是有过之而无不及。
杀毒软件的查杀模式：文件查杀、内存查杀、行为查杀（pc绿鹰精灵、卡巴主动、微点主动）、配置信息查杀（瑞星、金山、卡巴数据流）
过行为查杀的思路：修改一下启动木马的方式（注册表、系统服务、插件启动、驱动启动等）或者隐藏木马（进程插入、系统属性、文件名、进程名等）

5.准备一个免杀工具包
要做免杀，准备一个工具包是很有必要的
百度搜索一下“黑客工具包”，就能找到很多这样的工具包


6.常用工具放右键“发送到”
有些免杀必备的工具，我们得让它的使用更加的方便，就可以放到右键里
开始 — 运行 — sendto

7.其他应注意的事项
1.免杀的时候应该备份
2.修改一个或者几个特征码后应该测试木马上线和功能是否损失
        3.想要真正学会免杀这门技术，就必须找一款喜欢的远控，自己独立的做它的免杀，而不是照着教程按部就班的来改，我们学习的是方法而不是步骤
        4.找一个自己喜欢的论坛，经常到它的免杀交流或者提问的地方找别人提出的问题，看看自己是否也能解决。只有互相交流，才能进步。
        5.学习脱壳等知识也是有必要的，因为很多生成器都会加壳，如果不能把服务端资源提取出来，那么免杀就不能继续了
        6.学习免杀的同时，你也可以同时学到其他方面的技能，比如说脱壳破解、黑客编程等等…

http://www.hackfans.com.cn/video/shikan/miansha/第一课 免杀环境的搭建.rar