为什么免杀程序不报毒？

为什么免杀程序不报毒？何为免杀？免杀程序在通过特殊处理之后可以躲过杀毒软件的查杀，以达到程序自由使用的目的。免杀技术与反病毒与反间谍规则相抵，正确解释为“反杀毒技术”，想知道更多？请看下文。

为什么免杀程序不报毒？

一、什么是免杀技术：

“免杀”在字面上的意思是一种能够让病毒、木马躲避或者绕过杀毒软件查杀的技术。对于门外客来说，免杀技术所涉及的知识面非常广，利用免杀技术制作免杀病毒的技术人员可以轻易的转型为反汇编、逆向工程甚至系统漏洞的发掘等其他顶级黑客技术，由此可见免杀并不是想象中的字面意思那么简单。

二、免杀技术发展史：

理论上讲，免杀一定是出现在杀毒软件之后的。而通过杀毒软件的发展史不难知道，第一款杀毒软件kill 1.0是Wish公司1987年推出的，也就是说免杀技术至少是在 * 以后才发展起来的。关于世界免杀技术的历史信息已无从考证，但从国内来讲，免杀技术的起步可以说是非常晚了。

* ：第一款杀毒软件Mcafee诞生，标志着反病毒与反查杀时代的到来。

1997年：国内出现了第一个可以自动变异的千面人病毒（Polymorphic/Mutation Virus）。自动变异就是病毒针对杀毒软件的免杀方法之一，但是与免杀手法的定义有出入。

2002年7月31日：国内第一个真正意义上的变种病毒“中国黑客II”出现，它除了具有新的特征之外，还实现了“中国黑客”第一代所未实现的功能，可见这个变种也是病毒编写者自己制造的。

2004年：在黑客圈子内部，免杀技术是由黑客动画吧在这一年首先公开提出，由于当时还没有CLL等专用免杀工具，所以一般都使用WinHEX逐字节更改。

2005年1月：大名鼎鼎的免杀工具CCL的软件作者tankaiha在杂志上发表了一篇文章，藉此推广了CCL，从此国内黑客界才有了自己第一个专门用于免杀的工具。

2005年2月-7月：通过各方面有意或无意的宣传，黑客爱好者们开始逐渐重视免杀，在类似于免杀技术界的祖师爷的浩天老师带领下一批黑客开始有越来越多的讨论免杀技术，这为以后木马免杀的火爆埋下根基。

2005年08月：第一个可查的关于免杀的动画由黑吧的浩天老师完成，为大量黑客爱好者提供了一个有效的参考，成功地对免杀技术进行了第一次科普。

2005年09月：免杀技术开始真正的火起来。

由上面的信息可见，国内在1997年出现了第一个可以自动变异的千面人病毒，虽然自动变异也可以看为是针对杀毒软件的一种免杀方法，但是由于与免杀手法的定义有出入，所以如果将国内免杀技术起源定位1997年会显得比较牵强。

一直等到2002年7月31日，国内第一个真正意义上的变种病毒“中国黑客II”才迟迟出现，因此我们暂且可以将国内免杀技术的起源定位在2002年7月。

三、免杀能做什么：

您有没有过心爱的工具被杀毒软件KILL的经历；您有没有过辛辛苦苦整理出来的工具集被杀毒软件搞成面目全非而“义愤填膺”的时候；您有没有过好不容易拿到权限，上传的木马却被杀的痛心时刻？免杀，它能做的就是避免这些事情的发生！使杀毒软件成为摆设！当然，除此之外免杀技术带给我们更多的，将是思想的飞跃与技术的成长。

四、免杀涉及什么：

但是要想真正明白免杀能做什么，就要先明白免杀会涉及到什么。对于初学者来说，免杀只会涉及到一点基本的PE文件知识与一些免杀工具的使用，而对于高手来说，免杀甚至会涉及到Ring0（内核层）的程序编译技巧。所以免杀这门课程涵盖面还是相当宽泛的。

五、免杀技术分类：

1、开源免杀：指在有病毒、木马源代码的前提下，通过修改源代码进行免杀。

2、手工免杀：指在仅有病毒、木马的可执行文件（.exe）（PE文件）的情况下进行免杀。

六、免杀手工分类：

1、文件免杀和查杀：在不运行程序的前提下使用杀毒软件进行对该程序的扫描，所得结果。

2、内存的免杀和查杀：判断的方法1》运行后，用杀毒软件的内存查杀功能。

3、用OD载入，用杀毒软件的内存查杀功能。

七、免杀的特征码：

1、含意：能识别一个程序是一个病毒的一段不大于64字节的特征串。

2、为了减少误报率，一般杀毒软件会提取多段特征串，这时，我们往往改一处就可达到免杀效果，当然有些杀毒软件要同时改几处才能免杀。

3、特征码的查找方法：文件中的特征码被我们填入的数据（比如0）替换了，那杀毒软件就不会报警，以此确定特征码的位置。

4、特征码 * 的工作原理：原文件中部分字节替换为0，然后生成新文件，再根据杀毒软件来检测这些文件的结果判断特征码的位置。

八、免杀定位原理：

1、CCL（特征码 * ，由于杀软的升级，现已过时）

2、MYCCL（特征码 * ，由程序员Tanknight在CCL的基础上改进）

3、OllyDbg （特征码的修改，可用于动态反汇编。注意：用它修改特征码时，要用OC转换成内存地址）

4、C32ASM（特征码的修改，也可用于静态反汇编）

5、OC（用于计算从文件偏移地址到内存地址的小工具）

6、UltaEdit-32（十六进制编辑器，用于特征码的手工准确定位或修改）

九、免杀修改类型：

特征码修改包括文件特征码修改和内存特征码修改，因为这二种特征码的修改方法是通用的。所以就对流行的特征码修改方法作个总节。

直接修改特征码的十六进制法：

1、修改方法：把特征码所对应的十六进制改成数字差1或差不多的十六进制。

2、适用范围：一定要精确定位特征码所对应的十六进制，修改后一定要测试一下文件能否正常使用。

修改字符串大小写法：

1、修改方法：把特征码所对应的内容是字符串的，只要把大小字互换一下就可以了。

2、适用范围：特征码所对应的内容必需是字符串，否则不能成功。

等价替换法：

1、修改方法：把特征码所对应的汇编指令命令中替换成功能类拟的指令。

2、适用范围：特征码中必需有可以替换的汇编指令。比如JE，JNE 换成JMP等。

如果对汇编不懂的偏移可以去查看8080汇编手册。

指令顺序调换法：

1、修改方法：把具有特征码的代码顺序互换一下。

2、适用范围：具有一定的局限性，代码互换后必须不能影响程序的正常执行

通用跳转法：

1、修改方法：把特征码移到零区域（指代码的空隙处）执行后，使用jmp指令无条件调回原代码处继续执行下一条指令

2、适用范围：通用的改法，建议大家要掌握这种改法。

十、免杀的方式：

1、加冷门壳

举例来说，如果说程序是一张烙饼，那壳就是包装袋，可以让你发现不了包装袋里的东西是什么。比较常见的壳一般容易被杀毒软件识别，所以加壳有时候会使用到生僻壳，就是不常用的壳。去买口香糖你会发现至少有两层包装，所以壳也可以加多重壳，让杀毒软件看不懂。如果你看到一个袋子上面写着干燥剂、有毒之类的字你也许就不会对他感兴趣了吧，这就是伪装壳，把一种壳伪装成其他壳，干扰杀毒软件正常的检测。

2、加壳改壳

加壳改壳是病毒免杀常用的手段之一，加壳改壳原理是将一个木马文件加上upx壳或者其它壳后用lordpe将文件入口点加1，然后将区段字符全部去掉，然后用od打开免杀的木马在入口上下100字符内修改一些代码让杀毒软件查不出来是什么壳就不知道怎么脱就可以实现免杀的目的，但这种技术只有熟悉汇编语言的人才会，这种免杀方法高效可以一口气过众多杀软也是免杀爱好者应该学会的一种技术。

3、加花指令

加花是病毒免杀常用的手段，加花的原理就是通过添加加花指令（一些垃圾指令，类型加1减1之类的无用语句）让杀毒软件检测不到特征码，干扰杀毒软件正常的检测。加花以后，一些杀毒软件就检测不出来了，但是有些比较强的杀毒软件，病毒还是会被杀的。这可以算是“免杀”技术中最初级的阶段。

4、改程序入口点

修改程序入口点。

十一、最新的无特征免杀法

何为无特征免杀法？就是脱离传统的定位方法，直接盲免，就对于整体区段进行异或加密，是整体代码发生变换，从而逃脱，杀毒软件的查杀，是当今最流行的方法。

以上所述便是关于为什么免杀程序不报毒的详细解释，如果某个程序怀着其目的性才加上免杀技术，则可以忽略该程序的安全性，如果其制作的初衷便是为了破坏，那计算机就危险了，道高一尺魔高一丈，知名杀软对计算机安全防御的提升也不断在增强，免杀技术也在不断超越，对于中了病毒却一无所知的你来说，这一切你都毫不知情，也算是一种幸福吧。