免殺:計算機技術-中文百科頻道

什麼是免殺

單從漢語“免殺”的字面意思來理解，可以将其看為一種能使病毒木馬避免被殺毒軟件查殺的技術。但是不得不客觀地說，免殺技術的涉獵面非常廣，您可以由此輕松轉型為反彙編、逆向工程甚至系統漏洞的發掘等其他頂級黑客技術，由此可見免殺并不簡單。

免殺的發展史

理論上講，免殺一定是出現在殺毒軟件之後的。而通過殺毒軟件的發展史不難知道，第一款殺毒軟件kill 1.0是Wish公司1987年推出的，也就是說免殺技術至少是在1989年以後才發展起來的。關于世界免殺技術的曆史信息現在已無從考證，但從國内來講，免殺技術的起步可以說是非常晚了。

1989年：第一款殺毒軟件Mcafee誕生，标志着反病毒與反查殺時代的到來。

1997年：國内出現了第一個可以自動變異的千面人病毒（Polymorphic/Mutation Virus）。自動變異就是病毒針對殺毒軟件的免殺方法之一，但是與現在免殺手法的定義有出入。

2002年7月31日：國内第一個真正意義上的變種病毒“中國黑客II”出現，它除了具有新的特征之外，還實現了“中國黑客”第一代所未實現的功能，可見這個變種也是病毒編寫者自己制造的。

2004年：在黑客圈子内部，免殺技術是由IT工程師之家團隊在這一年首先公開提出，由于當時還沒有CLL等專用免殺工具，所以一般都使用WinHEX逐字節更改。

2005年1月：大名鼎鼎的免殺工具CCL的軟件作者tankaiha在雜志上發表了一篇文章，藉此推廣了CCL，從此國内黑客界才有了自己第一個專門用于免殺的工具。

2005年2月-7月：通過各方面有意或無意的宣傳，黑客愛好者們開始逐漸重視免殺，在類似于華夏論壇等黑客站點的木馬專欄下，開始有越來越多的人讨論免殺技術，這為以後木馬免殺的火爆埋下根基。

2005年08月：第一個可查的關于免殺的動畫由小野完成，為大量黑客愛好者提供了一個有效的參考，成功地對免殺技術進行了第一次科普。

2005年09月：免殺技術開始真正的火起來。

由上面的信息可見，國内在1997年出現了第一個可以自動變異的千面人病毒，雖然自動變異也可以看為是針對殺毒軟件的一種免殺方法，但是由于與現在免殺手法的定義有出入，所以如果将國内免殺技術起源定位1997年會顯得比較牽強。

一直等到2002年7月31日，國内第一個真正意義上的變種病毒“中國黑客II”才遲遲出現，因此我們暫且可以将國内免殺技術的起源定位在2002年7月。

免殺能做什麼

您有沒有過心愛的工具被殺毒軟件KILL的經曆；您有沒有過辛辛苦苦整理出來的工具集被殺毒軟件搞成面目全非而“義憤填膺”的時候；您有沒有過好不容易拿到權限，上傳的木馬卻被殺的痛心時刻？免殺，它能做的就是避免這些事情的發生。使殺毒軟件成為擺設。當然，除此之外免殺技術帶給我們更多的，将是思想的飛躍與技術的成長。

免殺會涉及到什麼

對于初學者來說，免殺隻會涉及到一點基本的PE文件知識與一些免殺工具的使用，而對于高手來說，免殺甚至會涉及到Ring0（内核層）的程序編譯技巧。所以免殺這門課程涵蓋面還是相當寬泛的。

常見免殺方式

修改特征碼、花指令免殺、加殼免殺、内存免殺、二次編譯、分離免殺、資源修改。

免殺技術的分類

1、開源免殺：指在有病毒、木馬源代碼的前提下，通過修改源代碼進行免殺。

2、手工免殺：指在僅有病毒、木馬的可執行文件(.exe)（PE文件）的情況下進行免殺。

木馬免殺的綜合修改方法

文件免殺方法：

1.加冷門殼

舉例來說，如果說程序是一張烙餅，那殼就是包裝袋，可以讓你發現不了包裝袋裡的東西是什麼。比較常見的殼一般容易被殺毒軟件識别，所以加殼有時候會使用到生僻殼，就是不常用的殼。現在去買口香糖你會發現至少有兩層包裝，所以殼也可以加多重殼，讓殺毒軟件看不懂。如果你看到一個袋子上面寫着幹燥劑、有毒之類的字你也許就不會對他感興趣了吧，這就是僞裝殼，把一種殼僞裝成其他殼，幹擾殺毒軟件正常的檢測。

2.加殼改殼

加殼改殼是病毒免殺常用的手段之一，加殼改殼原理是将一個木馬文件加上upx殼或者其它殼後用lordpe将文件入口點加1，然後将區段字符全部去掉，然後用od打開免殺的木馬在入口上下100字符内修改一些代碼讓殺毒軟件查不出來是什麼殼就不知道怎麼脫就可以實現免殺的目的，但這種技術隻有熟悉彙編語言的人才會，這種免殺方法高效可以一口氣過衆多殺軟也是免殺愛好者應該學會的一種技術。