免杀程序为什么不报毒？

为什么免杀程序不报毒？什么是免疫力？免杀程序通过特殊处理后可以避免被杀毒软件查杀，从而达到免费使用程序的目的。免杀技术和反病毒反间谍规则相互抵消，被正确解读为“反病毒技术”。想知道更多吗？请看下文。

为什么免杀程序不报毒？

一、什么是免杀技术：

“免杀”字面意思是一种允许病毒和木马避开或绕过防病毒软件的技术。对于局外人来说，免杀技术涉及的知识范围很广。使用免杀技术制作免杀病毒的技术人员，可以轻松转化为其他顶级黑客技术，如反汇编、逆向工程，甚至发现系统漏洞。所以，免杀技术并没有想象中那么简单。

二、免杀技术发展史：

理论上，免杀必须出现在杀毒软件之后。从杀毒软件的发展历史不难知道，第一款杀毒软件kill 1.0是Wish公司在1987年推出的，这意味着免杀技术至少是在1989年以后才发展起来的。关于世界免杀技术的历史信息还没有得到验证，但就国内而言，免杀技术起步很晚。

1989年：第一款杀毒软件Mcafee诞生，标志着反病毒、反杀戮时代的到来。

1997年，中国出现了第一个多态/变异病毒。自动变异是杀毒软件的免杀病毒方法之一，但它不同于免杀方法的定义。

2002年7月31日：第一个真正变异的病毒“中国黑客II”在中国出现。除了新功能，它还实现了第一代“中国黑客”没有实现的功能。可以看出，这个变种也是病毒编写者自己制造的。

2004年：在黑客圈，免杀技术在今年首次被黑客动画吧公开提出。因为当时没有像CLL这样专门的免杀工具，所以一般用WinHEX一个字节一个字节的改。

2005年1月：知名免杀工具CCL的软件作者tankaiha在杂志上发表文章，借此推广CCL。从此，国内黑客界有了第一个专门用于免杀的工具。

2005年2-7月：通过各种有意无意的宣传，黑客开始更加关注免杀技术，一批黑客在类似免杀技术鼻祖的浩天先生的带领下开始讨论免杀技术，为免杀木马未来的普及奠定了基础。

2005年8月：黑吧浩天先生完成了第一部关于免杀的动画，为广大黑客爱好者提供了有效的参考，首次成功普及了免杀技术。

2005年9月：免杀技术开始真正火起来。

从以上信息可以看出，1997年中国出现了第一个具有自动突变的人类病毒。虽然自动变异也可以看作是反病毒软件的一种免杀方法，但1997年国内免杀技术的起源定位有些牵强，因为它与免杀技术的定义不符。

直到2002年7月31日，中国才出现了第一个真正的变种病毒“中国黑客II”。因此，我们可以暂时将国内免杀技术的起源定位在2002年7月。

三、免杀能做什么：

你有过自己喜欢的杀毒软件KILL工具吗？你有没有辛辛苦苦整理出来的工具集，被杀毒软件改得面目全非，“义愤填膺”？你有没有过上传的木马在你最后得到许可的时候被杀死的悲伤时刻？没有杀戮，它能做的就是避免这些事情！把杀毒软件做成显示器！当然，除此之外，免杀技术还会给我们带来更多，这将是思想的飞跃和技术的成长。

四、免杀涉及什么：

但是如果你真的想了解一个豁免能做什么，你必须首先了解一个豁免会涉及什么。对于初学者来说，免杀只会涉及到一点PE文件的基础知识和一些免杀工具的使用，而对于高手来说，免杀甚至会涉及到Ring0(内核层)的编译技巧。因此，这门课程的覆盖面相当广泛。

五、免杀技术分类：

1.开源免杀：指在拥有病毒、木马源代码的前提下，通过修改源代码免杀。

2.手动免杀：表示只有存在可执行文件时才免杀(。 exe)(PE文件)的病毒和木马。

六、免杀手工分类：

1.免文件查杀和查杀：不运行程序，用杀毒软件扫描程序，得到结果。

2.自由记忆杀戮与杀戮：判断方法1。运行后，使用杀毒软件的内存查杀功能。

3.加载OD，使用杀毒软件的杀内存功能。

七、免杀的特征码：

1.含义：不大于64字节的特征字符串，可以将程序识别为病毒。

2.为了降低误报率，一般杀毒软件都会提取多个特征串。这时，我们经常换一个地方来达到免杀的效果。当然，有些杀毒软件需要同时换几个地方才能避免查杀。

3.特征码的搜索方式：如果文件中的特征码被我们填写的数据(如0)替换，杀毒软件不会报警确定特征码的位置。

4.特征码定位器的工作原理：将原始文件中的一些字节替换为零，然后生成新文件，再根据杀毒软件检测这些文件的结果来判断特征码的位置。

八、免杀定位原理：

1.CCL(特征码定位器，因软件查杀升级而过时)

2.MYCCL(特征码定位器，程序员Tanknight在CCL的基础上改进)

3.OllyDbg(修改特征码，可用于动态反汇编。注意：用它修改签名时，要用OC转换成内存地址)

4.C32ASM(修改特征码也可用于静态反汇编)

5.OC(用于计算从文件到内存地址的偏移地址的小工具)

6.ulte edit-32(十六进制编辑器，用于手动精确定位或修改特征码)

九、免杀修改类型：

特征码修改包括文件特征码修改和内存特征码修改，因为这两种特征码修改方式是通用的。因此，我们将对特征码的常用修改方法进行概述。

直接修改特征码的十六进制方法；

1.修改方法：将特征码对应的十六进制改为相差1或差不多的十六进制。

2.适用范围：一定要准确定位特征码对应的十六进制。修改后，一定要测试文件是否可以正常使用。

修改字符串大小：

1.修改方式：特征码对应的内容为字符串，只要大小字符互换即可。

2.适用范围：特征码对应的内容必须是字符串，否则不会成功。

等效替代法：

1.修改方法：用功能类仿真的指令替换特征代码对应的汇编指令命令。

2.适用范围：特征码中必须有可替换的组装说明。如JE、JNE被JMP取代等。

如果不了解装配偏差，可以查看8080装配手册。

指令序列交换方法：

1.修改方法：用特征码替换代码序列。

2.适用范围：有一定的局限性，换码后一定不能影响程序的正常执行

一般跳转方法：

1.修改方法：将特征码移到零区域(指代码的间隙)执行后，使用jmp指令无条件转移回原代码，继续执行下一条指令

2.适用范围：全面改革。建议大家掌握这项改革。

十、免杀的方式：

1.添加冷阀门外壳

比如程序是煎饼，外壳是包装袋，你就查不出包装袋里装的是什么。常见的外壳一般容易被杀毒软件识别，所以在添加外壳时有时会用到稀有外壳，也就是不常见的外壳。买口香糖的时候会发现至少有两层包装，这样可以在外壳上加多个外壳，让杀毒软件看不懂。如果你看到一个袋子上写着干燥剂、毒药等字样，你可能不会感兴趣。这就是伪装壳，把一个壳伪装成另一个壳，干扰杀毒软件的正常检测。

2.贝壳和贝壳

加壳换壳是常见的杀毒方法之一。加壳换壳的原理是在一个木马文件中添加upx shell或其他shell，然后用lordpe在文件入口点添加1，然后去掉所有的小节字符，再用od打开免杀木马，修改入口上下100个字符以内的部分代码，这样杀毒软件就可以在不知道是什么shell的情况下实现免杀的目的。但是，这项技术只能由熟悉汇编语言的人使用。这种免杀方法效率高，可以一次杀死很多人。

3.添加花卉说明

加花是避免病毒杀灭的常用手段。加花的原理是通过添加加花指令(一些垃圾指令、type减1等无用语句)使杀毒软件无法检测到特征码，干扰杀毒软件的正常检测。加花后，有些杀毒软件检测不到，但有些更强的杀毒软件还是会把病毒杀死。这可以算是“免杀”技术的起步阶段。

4.更改程序入口点

修改程序入口点。

十一、最新的无特征免杀法

什么是无特色免杀法？也就是脱离传统的定位方式，直接盲目规避，对全段进行XOR加密，也就是说整个代码都在变化和逃逸，用杀毒软件查杀是现在最流行的方法。

以上是关于免杀程序为什么不报病毒的详细解释。如果一个程序添加了有目的的免杀技术，程序的安全性可以忽略。如果生产它的初衷是摧毁它，那么计算机将是危险的。路比魔高一尺，知名查杀软件对计算机安全防御的推动力度不断加大，免杀技术不断超越。对于你们这些感染了病毒却对此一无所知的人来说，你们对这一切都一无所知。