博主昵称：跳楼梯企鹅
博主主页面链接：博主主页传送门

博主专栏页面连接：专栏传送门--网路安全技术
创作初心：本博客的初心为与技术朋友们相互交流，每个人的技术都存在短板，博主也是一样，虚心求教，望各位技术友给予指导。
博主座右铭：发现光，追随光，成为光，散发光;
博主研究方向：渗透测试、机器学习 ;
博主寄语：感谢各位技术友的支持，您的支持就是我前进的动力 ;

目录

一、免杀概念

1.什么是免杀

 2.杀软的查杀方法

（1）特征码查杀

（2）静态启发式

（3） 动态启发式

 （4）HIPS

（5）云查杀

二、免杀术语

1.API

2.花指令

3.反启发

4.输入表

5.区段

6.加壳

一、免杀概念

1.什么是免杀

    免杀，也就是反病毒（AntiVirus）与反间谍（AntiSpyware）的对立面，英文为Anti -AntiVirus（简写Virus AV），逐字翻译为“ 反-反病毒”，翻译为“反杀毒技术”。通俗点讲，也就是一个被杀软报毒的PE文 件，经过一系列处理后，使杀软不认为他 是一个病毒或木马。

 2.杀软的查杀方法

（1）特征码查杀

    特征码查杀你说杀软要认为这个东西是个木马得有个判断条件吧，总不可能随便给你杀了。特征码就是最基础的查杀方式。特征码是什么？特征码就是病毒分析狮从病毒中提取的不大众化的不大于64字节的特征串。通过判断是否有这个特征字符串从而确定是否为病毒。通常为了减少误报，一个病毒会取数个特征码。

（2）静态启发式

     静态启发式即对整个软件进行分析。首先，杀软会规定规则，这个问题规则就是法律一样的，如果静态启发式分析出了杀软中的规定的法律，那么他的怀疑等级就会提高，跟起诉一个犯罪嫌疑人的证据一样，证据越多，那个人的可疑性就越高，到一定程度，就被认证存在危害。

（3） 动态启发式

    动态启发式又叫虚拟机查杀技术，会模拟出一个近似于windows的系统，但没有我们使用的windows那么全健，杀软会把病毒丢进他的虚拟机里，进行操作监视，如果操作越可疑，就越容易被定为病毒

 （4）HIPS

    HIPS可以说是主动防御，何为主动防御，一个马儿如果通过了表面查杀，那么主动防御就是最后一道防线，既然是最后一道防线，做得肯定要很牛咯。HIPS主要是对一个软件运行时的进行检测，如果发现软件有注册表操作，加载驱动这些一般程序不应操作的操作时，那么他就会以他R0级的优势，拦截掉，并将程序暂停运行，也就是挂起，询问用户是否进行该操作。

（5）云查杀

    云查杀。这个是这样的。首先，杀软那里有一套规则，如果一个软件触犯了这些规则，则杀软会上报至云服务器，到了云服务器后，则会对上报文件进行鉴定，可能会是人工鉴定，这样的效果比杀软查杀效果要好得多。那么如果分析出这个程序是病毒，那么就会将这个程序的MD5发生至云中心，用户在联网状态下杀毒的话，就与云中心核对MD5，如果对上了，无条件认定为病毒

二、免杀术语

1.API

    Windows API是一套用来控制Windows的各个部件的外观和行为的预先定义的Windows函数。用户的每个动作都会引发一个或几个函数的运行以告诉Windows发生了什么。API这个，我也说不清。我认为是这样的，程序的操作都会有一个API，有些操作产生的API则是可疑的，如，写注册表这一类的api就会被杀软所盯上，报为病毒。

2.花指令

    花指令是一段无用代码，用来迷惑杀毒软件。就好像男扮女装，用来伪装自己。

3.反启发

    即加入对杀软的启发式干扰的代码

4.输入表

    输入表是每个程序必备的，里面有程序所调用的大小写函数，而一些可疑操作的函数则会引起杀软注意。

5.区段

    区段是程序保存数据的地方，不同的区段保存了不同的东西，大家可以用LPE打开一个程序，找到区段选项，就可以看到区段了。

6.加壳

    加壳分为加压缩壳和保护壳〔加密壳〕压缩壳是目的是使程序变小，但无保护程序防止被反破解的作用。保护壳恰恰相反，保护壳的目的是使程序尽量防止被反汇报，但好的保护壳会议给程序植入大量垃圾代码，以干扰破解版者，所以程序会变大。