（本文源于轉(zhuǎn)載或摘抄整理）：
首先是免殺的概念一、什么是免殺 免殺，也就是反病毒（AntiVirus）與反間 諜（AntiSpyware）的對(duì)立面，英文為Anti -AntiVirus（簡寫Virus AV），逐字翻譯為“ 反-反病毒”，翻譯為“反殺毒技術(shù)”。 通俗點(diǎn)講，也就是一個(gè)被殺軟報(bào)毒的PE文 件，經(jīng)過一系列處理后，使殺軟不認(rèn)為他 是一個(gè)病毒或木馬。

那么，啥是PE文件，PE文件指的是windo ws操作系統(tǒng)上的程序文件，常見的有exe,d ll,sys,com的后綴的文件，PE文件都有PE頭 和MZ標(biāo)識(shí)。

還有就是現(xiàn)在的三種主流免殺方式啊，分別是特征碼免殺，非特征碼免殺和源碼免殺。

現(xiàn)在特征碼免殺是在逐漸衰退，因?yàn)楝F(xiàn)在 的殺軟主要傾向了HIPS以及啟發(fā)式掃描， 特征碼修改和定位是越來越難了。（個(gè)人認(rèn)為特征碼定位會(huì)很蛋疼。 。。）那么無特征碼免殺更是難上加難，其實(shí)就 是盲免。目前只有少數(shù)牛人在玩了源碼免殺，一個(gè)當(dāng)今非常好的免殺方法。 啥？360你盯上我的心API了？我動(dòng)態(tài)調(diào)用 。啥？小紅傘你盯上我代碼了？，我源碼 無破損修改。啥？NOD32干擾太強(qiáng)你定位 不出？直接用C32先找出大致范圍，如輸入 表，代碼段等等，我再在源碼改 （意思就是源碼免殺基本能解決所以免殺難題 ）。

二、免殺系統(tǒng)搭建 做免殺如果我們做一款遠(yuǎn).控的免殺，咱們 做好好了后是需要進(jìn)行測試的，那一些對(duì) 系統(tǒng)有害的需要測試咋辦呢，那就得用到 虛擬機(jī)或影子系統(tǒng)ps:由于這些都是基本的一些工具，我也就不再多講。

當(dāng)然，做免殺是需要一個(gè)免殺工具包的，小七免殺工具包精簡版2.0就很不錯(cuò)，里面的東西都是干凈的，但是原始下載地址欄找不到，百度上有很多，由于安全性未知，我就不發(fā)鏈接了，但他大小應(yīng)該是在350mb左右。

三、免殺工具介紹小七免殺工具包里有很多的工具我就列出其中的一些常用的排名不分前后1、mycclMyccl作為05出品的一款定位工具，到現(xiàn)在還是獨(dú)領(lǐng)風(fēng)騷，實(shí)用性五星，穩(wěn)定性五星。2、C32asm一款非常好的靜態(tài)反匯編工具一般人免殺定位出特征碼后都會(huì)先到C32里面去改，如果不行就載入od。當(dāng)然，源碼免殺就直接看定位出的東西在源碼所對(duì)應(yīng)的代碼修改就ok。

3、OD作為一款神器，OD有很多作用，破解，免殺啊，都需要它，做免殺不必要學(xué)匯編，通讀幾遍80×86就差不多了

4、LordPE。LordPE，是一款功能強(qiáng)大的PE文件分析、修改、脫殼軟件。LordPE是查看PE格式文件信息的首選工具，并且可以修改相關(guān)信息。我沒有用LPE脫過殼，LPE比較常用的功能就是修改地址，查看區(qū)段以及區(qū)段入口地址，查看和修改輸入表以及計(jì)算位置，重建PE功能有時(shí)會(huì)用到

5、ImportREC 一款傻瓜式的輸入表重建工具，用于做預(yù)處理效果很好的

6、VC++6.0不解釋

7、數(shù)字簽名過作用就是給軟件加上一個(gè)數(shù)字簽名，對(duì)啟發(fā)式和主動(dòng)有一定效果

四、關(guān)于殺軟排名不分前后

1、360。360作為中國殺軟上的后期之秀，占中國殺軟很大部分的市場，當(dāng)時(shí)09，10年的360是非常弱的，定位根本無干擾，但現(xiàn)在的360查殺能力不在話中，但誤報(bào)率過高，現(xiàn)在5引擎，小紅傘，BD，QVM其中BD，木傘都是可以定位的，但QVM是一個(gè)偽啟發(fā)，但是QVM07可以用定位，一般QVM都是殺輸入表，殺殼，入口點(diǎn)，資源這些。

2、金山毒霸金山走的是云安全，云防護(hù)，云鑒定這些云安全路線，所以，斷了網(wǎng)后金山就是個(gè)廢，原來有大牛這樣寫過馬的，先運(yùn)行時(shí)斷開網(wǎng)絡(luò)，然后釋放出馬，再運(yùn)行，運(yùn)行成功后就連接網(wǎng)絡(luò)，這樣是可以使免殺效果更好一些?，F(xiàn)在在天朝大部分的人都用的360和金山

3、江民江民定位就OK，主要是對(duì)特征碼字符串和資源進(jìn)行查殺。但現(xiàn)在依然收費(fèi)，目測要悲劇

4、瑞星瑞星曾經(jīng)是很霸氣的，現(xiàn)在低調(diào)了許多，主要是主動(dòng)防御攔截

5、安天防線。安天防線作為一款不是殺軟的殺軟，現(xiàn)在是純特征碼掃描，常被用來的做定位視頻，也是我覺得最弱的防線

6、卡巴斯基。非常變態(tài)的一款殺軟，誤報(bào)低，查殺率高，特征碼+輸入表變態(tài)查殺+靜動(dòng)態(tài)啟發(fā)式+強(qiáng)力的虛擬機(jī)脫殼技術(shù)。人類已經(jīng)無法阻止卡巴斯基的輸入表查殺了，在反匯編下，你無論對(duì)輸入表怎么重建，移位都不行，需要進(jìn)行手動(dòng)異或加密。

7、NOD32，我個(gè)人認(rèn)為的最好的殺軟，NOD32主要盯的是資源和輸入表，他的啟發(fā)式是相當(dāng)不賴的，而且NOD32抗定位干擾非常強(qiáng)，一般是定位的不出特征碼了，需要手工一段一段的找特征碼大致所在區(qū)域，再修改，這樣是非常耗時(shí)的，而且一上報(bào)，就完蛋。所以一般的不會(huì)做NOD32的免殺

8、諾頓諾頓不是NOD32，諾頓的主動(dòng)防御貌似的是很牛B，但表面查殺簡直是弱爆了，我個(gè)人不推薦

9、小紅傘，木傘。小紅傘的特征碼定位抗干擾技術(shù)比較好。還有小紅傘的啟發(fā)式也比較不錯(cuò)。

10、BD，比特焚德，以全球最大的病毒庫著名，HIPS+特征碼+虛擬機(jī)+高啟發(fā)，還是不錯(cuò)的

五、殺軟的查殺方法。
1、最基礎(chǔ)的查殺，特征碼查殺你說殺軟要認(rèn)為這個(gè)東西是個(gè)木馬得有個(gè)判斷條件吧，總不可能隨便給你殺了。特征碼就是最基礎(chǔ)的查殺方式。特征碼是什么？特征碼就是病毒分析獅從病毒中提取的不大眾化的不大于64字節(jié)的特征串。通過判斷是否有這個(gè)特征字符串從而確定是否為病毒。通常為了減少誤報(bào)，一個(gè)病毒會(huì)取數(shù)個(gè)特征碼。

2.1靜態(tài)啟發(fā)式，靜態(tài)啟發(fā)式即對(duì)整個(gè)軟件進(jìn)行分析。首先，殺軟會(huì)規(guī)定規(guī)則，這個(gè)問題規(guī)則就是法律一樣的，如果靜態(tài)啟發(fā)式分析出了殺軟中的規(guī)定的法律，那么他的懷疑等級(jí)就會(huì)提高，跟起訴一個(gè)犯罪嫌疑人的證據(jù)一樣，證據(jù)越多，那個(gè)人的可疑性就越高，到一定程度，就成了做壞事的人

2.2動(dòng)態(tài)啟發(fā)式，動(dòng)態(tài)啟發(fā)式又叫虛擬機(jī)查殺技術(shù)，會(huì)模擬出一個(gè)近似于windows的系統(tǒng)，但沒有我們使用的windows那么全健，殺軟會(huì)把病毒丟進(jìn)他的虛擬機(jī)里，進(jìn)行操作監(jiān)視，如果操作越可疑，就越容易被定為病毒這段話為了大家能看懂，我省去了一些專業(yè)術(shù)語

3、HIPSHIPS可以說是主動(dòng)防御，何為主動(dòng)防御，一個(gè)馬兒如果通過了表面查殺，那么主動(dòng)防御就是最后一道防線，既然是最后一道防線，做得肯定要很?？?。HIPS主要是對(duì)一個(gè)軟件運(yùn)行時(shí)的進(jìn)行檢測，如果發(fā)現(xiàn)軟件有注冊(cè)表操作，加載驅(qū)動(dòng)這些一般程序不應(yīng)操作的操作時(shí)，那么他就會(huì)以他R0級(jí)的優(yōu)勢，攔截掉，并將程序暫停運(yùn)行，也就是掛起，詢問用戶是否進(jìn)行該操作。

4、云安全，云查殺。這個(gè)是這樣的。首先，殺軟那里有一套規(guī)則，如果一個(gè)軟件觸犯了這些規(guī)則，則殺軟會(huì)上報(bào)至云服務(wù)器，到了云服務(wù)器后，則會(huì)對(duì)上報(bào)文件進(jìn)行鑒定，可能會(huì)是人工鑒定，這樣的效果比殺軟查殺效果要好得多。那么如果分析出這個(gè)程序是病毒，那么就會(huì)將這個(gè)程序的MD5發(fā)生至云中心，用戶在聯(lián)網(wǎng)狀態(tài)下殺毒的話，就與云中心核對(duì)MD5，如果對(duì)上了，無條件認(rèn)定為病毒

六、免殺方面的術(shù)語1、API。Windows API是一套用來控制Windows的各個(gè)部件的外觀和行為的預(yù)先定義的Windows函數(shù)。用戶的每個(gè)動(dòng)作都會(huì)引發(fā)一個(gè)或幾個(gè)函數(shù)的運(yùn)行以告訴Windows發(fā)生了什么。API這個(gè)，我也說不清。我認(rèn)為是這樣的，程序的操作都會(huì)有一個(gè)API，有些操作產(chǎn)生的API則是可疑的，如，寫注冊(cè)表這一類的api就會(huì)被殺軟所盯上，報(bào)為病毒。

免殺術(shù)語第2點(diǎn)花指令，花指令是一段無用代碼，用來迷惑殺毒軟件。就好像男扮女裝，用來偽裝自己。

3、輸入表輸入表是每個(gè)程序必備的，里面有程序所調(diào)用的大小姐函數(shù)，而一些可疑操作的函數(shù)則會(huì)引起殺軟注意。

4、區(qū)段區(qū)段是程序保存數(shù)據(jù)的地方，不同的區(qū)段保存了不同的東西，大家可以用LPE打開一個(gè)程序，找到區(qū)段選項(xiàng)，就可以看到區(qū)段了。

5、加殼加殼分為加壓縮殼和保護(hù)殼〔加密殼〕壓縮殼是目的是使程序變小，但無保護(hù)程序防止被反破解的作用。保護(hù)殼恰恰相反，保護(hù)殼的目的是使程序盡量防止被反匯報(bào)，但好的保護(hù)殼會(huì)議給程序植入大量垃圾代碼，以干擾破解版者，所以程序會(huì)變大。

6、反啟發(fā)即加入對(duì)殺軟的啟發(fā)式干擾的代碼

7、隱藏輸入表即讓輸入表無法在c32中出現(xiàn)。