免殺就是這麼簡單！

對於剛接觸黑客知識的你們們來講，免殺是一個很是遙遠的話題，他們絕不懷疑的會說，以本身的水平和能力，很難把一個木馬進行免殺。那麼今天，我就要告訴這些人們——免殺其實很是簡單！相信你們在仔細的閱讀了本文後，就會明白我爲何要這麼說了。

 

1、工具的準備

 

一、灰鴿子，灰鴿子是國內一款很是著名的木馬程序，它能夠說是國內木馬的集大成者，其豐富而又強大的功能，靈活多變的操做，良好的隱藏性等等，使得其它木馬遠控程序都相形見絀。當使用在合法狀況下時，灰鴿子是一款優秀的遠程控制軟件，但若是拿它來作一些非法的事，那灰鴿子就成了很強大的黑客工具。

 

二、zprotect，Zprotect是新一代的軟件加密保護程序，擁有了多項革命性的創新技術，以保護咱們的軟件產品不被破解，減小因爲盜版而帶來的經濟損失。此外，Zprotect還擁有簡單易用的許可控制系統，咱們無需更改任何代碼，就能夠爲軟件添加註冊機制。與使用傳統軟件保護系統相比，Zprotect更注重對於代碼的處理，而且擁有良好的穩定性和兼容性，是進行軟件保護時的最佳選擇！

 

2、開始

 

本文我就介紹如何使用zprotect軟件保護工具來將一個木馬進行免殺，其實也就是將這個程序的代碼進行加密，保護起來，並非真正意義上的免殺，但只要能過殺毒軟件的查殺，對咱們來講，目的也就達到了。我使用了灰鴿子來給你們進行演示，由於這款木馬程序在你們中的使用率很是高，以它爲例來進行介紹，可讓你們更加輕鬆的學到知識！

 

一、鴿子服務端的配置

 

首先咱們運行灰鴿子並配置一個服務端程序，相信這個過程你們都是輕車熟路了吧，固然咱們也不能隨便配置，按照原來的套路是不可取的，隨便配置的結果只有一個，就是免殺無任何效果。

 

在自動上線的IP輸入框中填寫你的IP地址或域名（不建議使用IP地址，最好是使用動態域名），其它的設置根據本身的狀況進行填寫就能夠了，由於它們對於灰鴿子的免殺並無什麼影響，不會由於設置的問題而形成免殺的失敗、殺毒軟件的報毒！

 

 

 

咱們繼續，在安裝選項中，你們請儘可能按照標準的樣子來進行填寫，但沒必要嚴格遵循，最好儘可能少選這些東西，不然免殺會不成功的，由於殺毒軟件的雲安全會根據咱們選擇的這些附加的代碼而更容易的檢測出你的木馬。安裝路徑是無所謂的，但最好不要安裝在系統目錄下，由於大部分人在查毒時只檢查重要目錄，而其他的目錄不會進行查殺。我由於是演示，因此就隨便找了個目錄安裝。

 

下面的幾個選項，我要詳細的介紹一下，第一個：「服務端安裝成功後彈出安裝成功提示」，這個選項確定不能選擇的，雖然不會有殺毒軟件會所以而報毒，但該選項顯示不符合木馬隱蔽運行的原則，若是真的彈出了提示，笨蛋都會知道系統有問題的！第二個：「服務端安裝成功後自動刪除安裝文件」，這項無所謂，刪除後更有利於往後不被殺毒軟件查到木馬的源文件。第三個：「服務端啓動後在桌面任務欄顯示圖標」，顯示圖標沒有什麼實際的做用，爲了隱蔽和安全，固然是不顯示。第四個：「服務端啓動後開啓中文聊天記錄功能」，這項建議你們不要選擇，由於它會致使一些專門查殺這類功能的殺毒軟件報毒。

 

接下來也是比較關鍵的了，在啓動項中有兩個選項：一、Win98/2000/XP下寫入註冊表啓動，建議選擇該選項，這個選項不會引發行爲監測的殺毒軟件的報毒。二、Win2000/XP下優先安裝成服務啓動，建議不要選擇，由於它會引發360安全衛士等安全軟件的啓動項增長提示。選擇了上面這兩個選項，極可能會致使免殺失敗，除非有特別的須要，不然最好是不要選擇！其他選項中的內容均可有可無，你們能夠根據本身對肉雞的須要來進行設置。

 

二、免殺開始

 

首先，咱們運行zprotect，對於這款軟件，你們必定都很陌生吧。點擊「打開」按鈕，選擇已經配置好的灰鴿子服務端程序，若是不是相似這樣的，那麼有可能你的灰鴿子在配置上有問題，注意這些加密標記都應該爲0。

 

好了，咱們繼續進行下一步的操做，點擊左邊的「常規選項」，進去以後會看到一羣密密麻麻的選項、設置，咱們把這些都拋開無論，就看常規設置這一起，咱們就是在這裏面作一些手腳，好讓它不畏殺毒軟件堅定的查殺。取消「加密導入表」選項，至於緣由嗎，我就告訴你們：輸入表是PE文件的必要組成部分，用於引導PE文件導入所需的API函數。加密輸入表能夠在必定程度上防止破解者還原導入函數的功能，讓殺毒軟件想還原也還原不了。

 

選中「區段名稱」選項，而且隨機設置一個加密碼，不一樣的加密碼會對咱們的木馬產生不一樣的保護，今天使用這個加密碼製做的免殺若是被發現了，明天咱們就能夠更換另外一種加密碼來讓這個程序依舊免殺。再選中「加密調用代碼」，這樣系統就會自動幫你加密灰鴿子裏的調用代碼，加密調用代碼的Call指令，如今咱們免殺的第一步就完成了！

 

咱們再來選擇「加密設置」中的「高級選項」，在「反函數鉤子」中，程序會將選定的DLL代碼移動到隨機的地址運行，以防止被掛鉤。咱們只要選擇「啓用」，同時選擇「使用默認配置」，這樣模塊kerne132.dll、user32dll、ntdll.dll就會被默認反掛鉤了。在「VISO保護模塊」中，選擇「啓用」，而且點擊「從新分析」，如今免殺處理的第二步也就結束了。咱們全部關於免殺要作的配置也都完成了，開始準備生成加密後的（也就是免殺的）灰鴿子服務端了，成功就在咱們的眼前！

 

來到最激動人心的一步了，咱們選擇「應用保護」中的「當即保護」，點擊「保護」按鈕，稍等一下，就會看到界面，這就代表，咱們對程序的保護，也就是對灰鴿子的免殺已經正式的結束了。

 

三、最後的測試

 

咱們來檢測一下兔殺的效果如何，使用金山毒霸對已經免殺的灰鴿子做一次檢測，實時監控，沒有任何反應，病毒掃描，也沒有提示發現病毒，哈哈，咱們的免殺真的很成功，金山殺毒軟件已經無視了咱們的木馬，不作任何反應了！肉雞上線也沒有問題，功能上也沒有任何缺失。不過，千萬不要把這個已經作過免殺的灰鴿子上傳到殺毒網上，不然作好免殺的灰鴿子也會再度被查毒軟件查殺的！

 

爲了測試效果，我在殺毒網上使用各大殺毒軟件進行了一次檢閱，結果很不錯，只有極少的幾款殺毒軟件會報毒，並且更使人興奮的是，全部國內有名的殺毒軟件皆查不到任何病毒，怎麼樣，另類的免殺比特徵碼定位免殺的效果要好不少倍吧！