入口点加1免杀法

1. 用到工具：PEditor
2. 特点：非常简单实用，但有时还会被卡巴查杀。 3)操作要点：用PEditor打开无壳木马程序，把原入口点加1即可。
3. 操作要点：用PEditor打开无壳木马程序，把原入口点加1即可。

变化入口地址免杀法

1. 用到工具：OllyDbg，PEditor
2. 特点：操作也比较容易，而且免杀效果比入口点加1点要佳。
3. 操作要点：用OD载入无壳的木马程序，把入口点的前二句移到零区域去执行，然后又跳回到入口点的下面第三句继续执行。最后用PEditorr把入口点改成零区域的地址。

加花指令法免杀法

1. 用到工具：OllyDbg，PEditor
2. 特点：免杀通用性非常好，加了花指令后，就基本达到大量杀毒软件的免杀。
3. 操作要点：用OD打开无壳的木马程序，找到零区域，把我们准备好的花指令填进去填好后又跳回到入口点，保存好后，再用PEditor把入口点改成零区域处填入花指令的着地址。

加壳或加伪装壳免杀法

1. 用到工具：一些冷门壳，或加伪装壳的工具，比如木马彩衣等。
2. 特点：操作简单化，但免杀的时间不长，可能很快被杀，也很难躲过卡巴的追杀。
3. 操作要点：为了达到更好的免杀效果可采用多重加壳，或加了壳后在加伪装壳的免杀效果更佳。

打乱壳的头文件或壳中加花免杀法

1. 用到工具：秘密行动 ，UPX加壳工具。
2. 特点：操作也是傻瓜化，免杀效果也正当不错，特别对卡巴的免杀效果非常好。
3. 操作要点：首先一定要把没加过壳的木马程序用UPX加层壳，然后用秘密行动这款工具中的SCramble功能进行把UPX壳的头文件打乱，从而达到免杀效果。

修改文件特征码免杀法

1. 用到工具：特征码定位器，OllyDbg
2. 特点：操作较复杂，要定位修改一系列过程，而且只针对每种杀毒软件的免杀，要达到多种杀毒软件的免杀，必需修改各种杀毒软件的特征码。但免杀效果好。
3. 操作要点：对某种杀毒软件的特征码的定位到修改一系列慢长过程。

快速定位与修改瑞星内存特征码

1、瑞星内存特征码特点：由于技术原因，目前瑞星的内存特征码在90%以上把字符串作为病毒特征码，这样对我们的定位和修改带来了方便。

2、定位与修改要点：

1. 首先用特征码定位器大致定位出瑞星内存特征码位置
2. 然后用UE打开，找到这个大致位置，看看，哪些方面对应的是字符串，用0替换后再用内存查杀进行查杀。直到找到内存特征码后，只要把字符串的大小写互换就能达到内存免杀效果。

木马免杀综合方案

1. 修改内存特征码——>1)入口点加1免杀法——> 1>加压缩壳——>1>再加壳或多重加壳
2. 变化入口地址免杀法 2>加成僻壳 2>加壳的伪装。
3. 加花指令法免杀法 3>打乱壳的头文件
4. 修改文件特征码免杀法

这个方案可以任意组合各种不同的免杀方案。并达到各种不同的免杀效果。

免杀方案实例演示部分

1、完全免杀方案一

内存特征码修改 + 加UPX壳 + 秘密行动工具打乱UPX壳的头文件。

2、完全免杀方案二

内存特征码修改 + 加压缩壳 + 加壳的伪装 )

3、完全免杀方案三

GD内存特征码修改 + 修改各种杀毒软件的文件特征码 + 加压缩壳

4、完全免杀方案四

内存特征码修改 + 加花指令 + 加压壳

5、完全变态免杀方案五

内存特征码修改 + 加花指令 + 入口点加1 + 加压缩壳UPX + 打乱壳的头文件

内存特征码修改 + 加花指令 + 入口点加1 + 加压缩壳UPX + 打乱壳的头文件