各种杀毒软件以及杀毒特点

lhl188

不错顶你一下慢慢看

lishilin

1.介绍各种杀毒软件以及杀毒特点

杀毒软件：瑞星、卡巴斯基、Mcafee、NOD32、诺顿、江民、金山等等

杀毒特点: 1、查文件(PE)入口
2、查文件特征码
3、查内存特征码（一般都指得被瑞星的内存查杀）
4、查资源名
5、程序行为查杀（这里指的是卡巴的主动防御）

杀毒软件综合分析：所有的杀毒软件都是按着它所提取的特征码进行查杀，也就是说我们修改了特征码也就可以躲过查杀。

一般的杀毒软件只要文件免杀,内存也就免杀了，如卡巴斯基（因为它的文件特征码和内存特征码定位是一样
的）,但是瑞星和江民例外，他们拥有两套特征码，分别是文件特征码和内存特征码，其中瑞星的内存查杀功
能是同类杀毒软件中最强的，江民的相对较弱。

杀毒软都有个共同的特点也是它的弱点：只针对影响力非常大的病毒程序，一般的黑客软件都只是提取单个的
特征码，所以免杀起来也是很简单的，像灰鸽子这种常见木马就是复合特征码，一般是6-7处，修改免杀起来
相当麻烦，所以我不建议大家使用流行的木马工具。虽然有复合特征码，但是还是有解决办法的。

2.木马免杀方法：

<1>.工具组合法：现在外面公布的都是这种方法，它的缺点就是免杀的时间不长，很容易被杀毒软件提走特征码而不再免杀。

<2>.加花指令：这种方法主要针对卡巴，但是一般都是自己编写的花指令才能躲过查杀。

<3>.修改特征码：要用工具定位到某个杀毒软件的特征码，然后修改躲过查杀，这种方法的效果最好，也是最麻烦的。因为对瑞星来说有内存特征码和文件特征码。

<4>.修改PE文件头：这也算是一种手工加密的办法，并不能免杀某个杀毒软件。

另外还有些方法已经过时了，就不在这里列出。以上这些方法中又分很多的小方法，像加花指令有分：直接加花，去头加花，加区加花，壳中加花等。

3.木马免杀一般步骤：

<1>.准备一个不加壳的木马（非常重要），否则免杀操作不能进行。

<2>.MyCCL定位木马的特征码，并修改，主要针对瑞星的内存查杀。

<3>.加花指令，主要针对卡巴斯基。

<4>.加压缩以减小木马的体积

另外还可以在后面加步骤来针对某个杀毒软件的查杀，这些就要靠个人对杀毒软件的杀毒特点的分析了。