木马彩衣如何使文件免杀

木马彩衣使用步骤

木马彩衣很简单啊 我觉得 就是你配置一个木马后 怕被杀毒软件干掉 可以打开木马彩衣给木马 加个壳，使杀毒软件认不出来 就是把木马拖进去 选择一个合适的花指令就行了 很简单 你可以看看教程

网上兼职木马如何杀

如果您的服务器正在受ASP木马的困扰，那么希望这篇文章能帮您解决您所面临的问题。

　　目前比较流行的ASP木马主要通过三种技术来进行对服务器的相关操作。

　　一、使用FileSystemObject组件 　　FileSystemObject可以对文件进行常规操作 　　可以通过修改注册表，将此组件改名，来防止此类木马的危害。

　　HKEY_CLASSES_ROOTScripting.FileSystemObject 　　改名为其它的名字，如：改为FileSystemObject_ChangeName 　　自己以后调用的时候使用这个就可以正常调用此组件了 　　也要将clsid值也改一下 　　HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID项目的值 　　也可以将其删除，来防止此类木马的危害。

　　注销此组件命令：RegSrv32 /u C:WINNTSYSTEMscrrun.dll 　　禁止Guest用户使用scrrun.dll来防止调用此组件。

　　使用命令：cacls C:WINNTsystem32scrrun.dll /e /d guests 　　二、使用WScript.Shell组件 　　WScript.Shell可以调用系统内核运行DOS基本命令 　　可以通过修改注册表，将此组件改名，来防止此类木马的危害。

　　HKEY_CLASSES_ROOTWScript.Shell 　　及HKEY_CLASSES_ROOTWScript.Shell.1 　　改名为其它的名字，如：改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName 　　自己以后调用的时候使用这个就可以正常调用此组件了 　　也要将clsid值也改一下 　　HKEY_CLASSES_ROOTWScript.ShellCLSID项目的值 　　HKEY_CLASSES_ROOTWScript.Shell.1CLSID项目的值 　　也可以将其删除，来防止此类木马的危害。

　　三、使用Shell.Application组件 　　Shell.Application可以调用系统内核运行DOS基本命令 　　可以通过修改注册表，将此组件改名，来防止此类木马的危害。

　　HKEY_CLASSES_ROOTShell.Application 　　及HKEY_CLASSES_ROOTShell.Application.1 　　改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName 　　自己以后调用的时候使用这个就可以正常调用此组件了 　　也要将clsid值也改一下 　　HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值 　　HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值 　　也可以将其删除，来防止此类木马的危害。

　　禁止Guest用户使用shell32.dll来防止调用此组件。

　　使用命令：cacls C:WINNTsystem32shell32.dll /e /d guests 　　注：操作均需要重新启动WEB服务后才会生效。

　　四、调用Cmd.exe 　　禁用Guests组用户调用cmd.exe 　　cacls C:WINNTsystem32Cmd.exe /e /d guests 　　通过以上四步的设置基本可以防范目前比较流行的几种木马，但最有效的办法还是通过综合安全设置，将服务器、程序安全都达到一定标准，才可能将安全等级设置较高，防范更多非法入

由于计算机病毒的传播方式多种多样，又通常具有一定的隐蔽性，因此，首先应提高全民对计算机病毒的防范意识，在计算机的使用过程中应注意下几点： （1）尽量不使用盗版或来历不明的软件。 （2）备份硬盘引区和主引导扇区数据，经常对重要的数据进行备份。 （3）养成经常用杀毒软件检查硬盘和每一张外来盘的良好习惯。 （4）杀毒软件应定期升级，一般间隔时间最好不超过一个月。 （5）安装了实时监控防病毒软件，当然这也不是一劳永逸的方法，防病毒软件不一定对所有的病毒都有效，而且病毒的更新速度也很快。 （6）随时注意计算机的各种异常现象，一旦发现，应立即用杀毒软件仔细检查。 杀毒软件是预防病毒感染的有效工具，应尽量配备多套杀毒软件，因为每个杀毒软件都有各自的特点。 （7）有些病毒的传播途径主要是通过电子邮件，被称为“邮件病毒”。 它们一般是通过邮件中“附件”夹带的方法进行扩散，你运行了该附件中的病毒程序，就使你的计算机染毒。 所以，不要轻易打开陌生人来信中的附件文件。 下面的都是完美破解版或免费版的，注意要及时升级杀毒软件的病毒库，最好在安全模式下杀毒，重启电脑时，按住F8就进入电脑的安全模式了 瑞星杀毒软件2008版（内附序列号） 是基于新一代虚拟机脱壳引擎、采用三层主动防御策略开发的新一代信息安全产品。 瑞星个人防火墙 2008 20.23.00 附瑞星2008 20.23.40 增量包,简体中文标准版。 瑞星升级保姆 2.30e For2007 本软件只是躲过ID验证，直接启动瑞星的升级程序,所有病毒库数据都是直接读取瑞星官方的，跟官方一秒不差。 。 这个软件会被瑞星当病毒查杀，其中原因你自己想想是为什么了 瑞星升级宝宝 For瑞星2008 可以免ID无限次升级杀毒和防火墙,简体中文绿色免费版 QQ医生 V1.5.6.201.0 是腾讯公司发布的针对QQ帐号密码被盗问题所提供的一款盗号木马查杀工具。 卡巴斯基KIS V8.0.0.99 Beta 全中文安装、支持中英文切换,麦田守望者汉化版。 木马克星2007 build 1230. 反黑客杀木马工具，可以查杀8122种国际木马，1053种密码偷窃木马.病毒库更新至 20071231 360安全卫士3.7.0.1005(1.0.1.1559). 拥有查杀流行木马、清理恶评及系统插件，管理应用软件，系统实时保护，修复系统漏洞等. 木马杀客2007 V18.18.34简体中文绿色免费版 全新一代的木马杀客，能有效查杀最新流行的QQ木马、网络游戏木马、网页木马等。 NOD32 国外很权威的防病毒软件评测给了NOD32很高的分数。 杀马(Defendio) V4.22.0.900 添加了对大量新威胁的查杀,可快速杀除木马软件,简体中文绿色免费版。 USBkill U盘防火墙 V8.5. 可强力清除病毒和设备安全移除,简体中文绿色免费版 恶意软件清理助手 V2.77 Build 015 用于清理流氓软件，清理引擎已更新至2.65，带广告简体绿色版 Auto.exe专杀增强版 V2.10 采用自创的查杀分析引擎查杀,简体中文绿色免费版 天网防火墙个人版 V3.0.0.1012 已附带破解和最新规则数据包,破解版。 下载地址： / ╃安全软件区╃ 希望能帮到你

怎么做免杀啊！

一.入口点加1免杀法: 1.用到工具PEditor 2.特点:非常简单实用,但有时还会被卡巴查杀 3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可 二.变化入口地址免杀法: 1.用到工具:OllyDbg,PEditor 2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳. 3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址. 三.加花指令法免杀法: 1.用到工具:OllyDbg,PEditor 2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀. 3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令的着地址. 四.加壳或加伪装壳免杀法: 1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等. 2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀 3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的免杀效果更佳 五.打乱壳的头文件或壳中加花免杀法: 1.用到工具:秘密行动 ,UPX加壳工具. 2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好 3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果. 六.修改文件特征码免杀法: 1.用到工具:特征码定位器,OllyDbg 2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好 操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程.

如何使文件免杀

方案一：（只能让文件免杀，运行后可能会在内存中被杀） 捆绑机是玩马者常用的一个软件，用于将木马的服务端和其他文件捆绑在一起，欺骗对方运行。 现在好多捆绑机都会被杀。 现在介绍一款永远不会被杀的捆绑机--WinRAR。 　　WinRAR是网上常用的一个压缩/解压缩软件，支持包括zip在内的多种压缩格式，压缩率高，现在越来越多的人喜欢用WinRAR来压缩软件了。 　　利用它的自解压和文件运行功能可以实现捆绑机的基本要求。 　　首先我们选定两个文件“server.exe”和“我的照片.jpg”，点击右键选添加到“XXXXX.rar”。 (XXXXX为你文件所在的目录) 然后双击打开生成的这个rar文件，点击工具栏上的自解压图标。 在弹出的对话框中选择高级自解压选项。 在“解压路径”中填入你要解压的路径， %systemroot%temp表示系统安装目录下的temp文件夹，一般是c:winnttemp文件夹。 “解压缩之后运行”中输入木马的服务端“server.exe”，“解压缩之前后运行”中输入“我的照片.jpg”。 此处有一定的欺骗性。 生成后的程序运行时会先调用默认关联的图片查看程序来打开“我的照片.jpg”，等关闭这个图片查看程序后才会去运行“server.exe”，可以起到一定的迷惑作用，所以顺序一定不能颠倒，否则就露馅了。 　　现在点击“高级”标签，选择“全部隐藏”和“覆盖所有文件”这两个选项。 这两个选项是为了不让rar解压的时候弹出窗口。 然后点击“文字和图标”标签，选择你喜欢的图标吧。 　　点击两下确定返回，在同一个目录下就会生成一个与rar同名的exe文件，这个就是“捆绑“后的文件了。 你也可以给文件更名。 比如“我的照片.jpg.exe”。 注意，文件后缀名一定要是exe。 　　优点: 　　1、WinRAR“捆绑”的文件是永远不会被杀的，不用担心哪天杀毒软件会瞄上你的“捆绑机”。 　　2、等第一个正常程序运行结束后再运行服务端，有一定的迷惑性。 　　缺点: 　　1、生成的程序稍嫌偏大，我用WinRAR3.0生成的exe比rar文件大了不少，如果是“捆绑”大文件应该还可以。 　　2、操作比较麻烦。 　　后记: 　　1、以上所有操作均在WinXP+WinRAR3.0下测试通过。 　　2、高级自解压－模式中选择打开方式选择隐藏启动对话框即可，如果你选择全部隐藏，那么图片也看不到了（xp中如此）。 　　补充：还有一件事大家注意一下：对于自解压文件，我通常选用的方法是反健选取，然后选择菜单中的解压缩到＊＊＊文件夹，这样不管自解压文件中是否捆绑有木马都不会中！而且在释放后的文件夹中可以清晰的看到被捆绑的木马服务端。 方案二：（完美免杀） 第一部分：对国内外杀毒软件分析 　 　　在讲定位内存特征码前，先要分析国内外著名杀毒软件的内存查 杀特点。 大家在使用木马过程都会发现，内存查杀，一般都指得被瑞 星的内存查杀。 瑞星的内存查杀功能是同类杀毒软件中最强的一款杀 毒软件。 像强悍的卡巴，金山，等等它们的内存查杀意义不大,会制作 免杀木马的人都知道,像这类杀毒软件,只要文件免杀,内存也就免杀了. 还有江民也有内存查杀功能,但内存查杀功能比较弱.只针对影响力非常 大的病毒程序.一般的黑客软件都没有提取内存特征码. 　　　　　　　　　　　第二部分：木马免杀的对策 　一.　要使一个木马免杀，首先要准备一个不加壳的木马，这点非常重要，否则下面的免杀操作就不能进行下去。 　二.然后我们要木马的内存免杀，从上面分析可以看出，目前的内存查杀，只有瑞星最强，其它杀毒软件内存查杀现在还不起作用所以我们只针对瑞星的内存查杀，要进行内存特征码的定位和修改，才能内存免杀。 　二.对符其它的杀毒软件，比如江民，金山，诺顿,卡巴.我们可以采用下面的方法,或这些方面的组合使用. 1>.入口点加1免杀法. 2>.变化入口地址免杀法 3>.加花指令法免杀法 4>.加壳或加伪装壳免杀法. 5>.打乱壳的头文件免杀法. 6>.修改文件特征码免杀法. 第三部分:免杀技术实例演示部分 一.入口点加1免杀法: 1.用到工具Editor 2.特点:非常简单实用,但有时还会被卡巴查杀. 3.操作要点:用PEditor打开无壳木马程序,把原入口点加1即可. 二.变化入口地址免杀法: 1.用到工具:OllyDbg,PEditor 2.特点:操作也比较容易,而且免杀效果比入口点加1点要佳. 3.操作要点:用OD载入无壳的木马程序,把入口点的前二句移到零区域去执行,然后又跳回到入口点的下面第三句继续执行.最后用PEditor把入口点改成零区域的地址. 三.加花指令法免杀法: 1.用到工具:OllyDbg,PEditor 2.特点:免杀通用性非常好,加了花指令后,就基本达到大量杀毒软件的免杀. 3.操作要点:用OD打开无壳的木马程序,找到零区域,把我们准备好的花指令填进去填好后又跳回到入口点,保存好后,再用PEditor把入口点改成零区域处填入花指令的着地址. 四.加壳或加伪装壳免杀法: 1.用到工具:一些冷门壳,或加伪装壳的工具,比如木马彩衣等. 2.特点:操作简单化,但免杀的时间不长,可能很快被杀,也很难躲过卡巴的追杀. 3.操作要点:为了达到更好的免杀效果可采用多重加壳,或加了壳后在加伪装壳的免杀效果更佳. 五.打乱壳的头文件或壳中加花免杀法: 1.用到工具:秘密行动 ,UPX加壳工具. 2.特点:操作也是傻瓜化,免杀效果也正当不错,特别对卡巴的免杀效果非常好. 3.操作要点:首先一定要把没加过壳的木马程序用UPX加层壳,然后用秘密行动这款工具中的SCramble功能进行把UPX壳的头文件打乱,从而达到免杀效果. 六.修改文件特征码免杀法: 1.用到工具:特征码定位器,OllyDbg 2.特点:操作较复杂,要定位修改一系列过程,而且只针对每种杀毒软件的免杀,要达到多种杀毒软件的免杀,必需修改各种杀毒软件的特征码.但免杀效果好. 3.操作要点:对某种杀毒软件的特征码的定位到修改一系列慢长过程. 第四部分:快速定位与修改瑞星内存特征码 一.　瑞星内存特征码特点:由于技术原因,目前瑞星的内存特征码在90%以上把字符串作为病毒特征码,这样对我们的定位和修改带来了方便. 二定位与修改要点:1>.首先用特征码定位器大致定位出瑞星内存特征码位置 2>.然后用UE打开,找到这个大致位置,看看,哪些方面对应的是字符串,用0替换后再用内存查杀进行查杀.直到找到内存特征码后,只要把字符串的大小写互换就能达到内存免杀效果. 第五部分:免杀方案实例演示部分 1.完全免杀方案一: 内存特征码修改 + 加UPX壳 + 秘密行动工具打乱UPX壳的头文件. 2.完全免杀方案二: 内存特征码修改 + 加压缩壳 + 加壳的伪装 3.完全免杀方案三: 内存特征码修改 + 修改各种杀毒软件的文件特征码 + 加压缩壳 4.完全免杀方案四: 内存特征码修改 + 加花指令 + 加压壳 5.完全变态免杀方案五: 内存特征码修改 + 加花指令 + 入口点加1 + 加压缩壳UPX + 打乱壳的头文件 还有其它免杀方案可任意组合.达到更好的免杀效果.